Red Hat மற்றும் Google, பர்டூ பல்கலைக்கழகத்துடன் இணைந்து, Sigstore திட்டத்தை நிறுவியது, இது டிஜிட்டல் கையொப்பங்களைப் பயன்படுத்தி மென்பொருளைச் சரிபார்ப்பதற்கான கருவிகள் மற்றும் சேவைகளை உருவாக்குதல் மற்றும் நம்பகத்தன்மையை (வெளிப்படைத்தன்மை பதிவு) உறுதிப்படுத்த பொது பதிவை பராமரிப்பதை நோக்கமாகக் கொண்டது. இலாப நோக்கற்ற அமைப்பான லினக்ஸ் அறக்கட்டளையின் கீழ் இந்த திட்டம் உருவாக்கப்படும்.
முன்மொழியப்பட்ட திட்டம் மென்பொருள் விநியோக சேனல்களின் பாதுகாப்பை மேம்படுத்துகிறது மற்றும் மென்பொருள் கூறுகள் மற்றும் சார்புகளை (சப்ளை சங்கிலி) மாற்றுவதை நோக்கமாகக் கொண்ட தாக்குதல்களிலிருந்து பாதுகாக்கும். திறந்த மூல மென்பொருளில் உள்ள முக்கிய பாதுகாப்பு சிக்கல்களில் ஒன்று, நிரலின் மூலத்தை சரிபார்ப்பது மற்றும் உருவாக்க செயல்முறையை சரிபார்ப்பதில் உள்ள சிரமம் ஆகும். எடுத்துக்காட்டாக, பெரும்பாலான திட்டங்கள் வெளியீட்டின் ஒருமைப்பாட்டை சரிபார்க்க ஹாஷ்களைப் பயன்படுத்துகின்றன, ஆனால் பெரும்பாலும் அங்கீகாரத்திற்குத் தேவையான தகவல்கள் பாதுகாப்பற்ற கணினிகளிலும் பகிரப்பட்ட குறியீடு களஞ்சியங்களிலும் சேமிக்கப்படுகின்றன, இதன் விளைவாக தாக்குபவர்கள் சரிபார்ப்புக்குத் தேவையான கோப்புகளை சமரசம் செய்து தீங்கிழைக்கும் மாற்றங்களைச் செய்யலாம். சந்தேகம் வராமல்.
விசைகளை நிர்வகித்தல், பொது விசைகளை விநியோகம் செய்தல் மற்றும் சமரசம் செய்யப்பட்ட விசைகளை திரும்பப் பெறுதல் ஆகியவற்றில் உள்ள சிரமங்கள் காரணமாக வெளியீடுகளை விநியோகிக்கும் போது ஒரு சிறிய அளவிலான திட்டப்பணிகள் டிஜிட்டல் கையொப்பங்களைப் பயன்படுத்துகின்றன. சரிபார்ப்பு அர்த்தமுள்ளதாக இருக்க, பொது விசைகள் மற்றும் செக்சம்களை விநியோகிக்க நம்பகமான மற்றும் பாதுகாப்பான செயல்முறையை ஒழுங்கமைப்பது அவசியம். டிஜிட்டல் கையொப்பத்துடன் கூட, பல பயனர்கள் சரிபார்ப்பைப் புறக்கணிக்கிறார்கள், ஏனெனில் அவர்கள் சரிபார்ப்பு செயல்முறையைப் படிக்கவும், எந்த விசை நம்பகமானது என்பதைப் புரிந்து கொள்ளவும் நேரம் செலவிட வேண்டும்.
சிக்ஸ்டோர் குறியீட்டிற்காக லெட்ஸ் என்க்ரிப்ட் என்பதற்குச் சமமானதாகக் கூறப்படுகிறது, டிஜிட்டல் கையொப்பமிடுவதற்கான சான்றிதழ்களையும் சரிபார்ப்பை தானியங்குபடுத்துவதற்கான கருவிகளையும் வழங்குகிறது. சிக்ஸ்டோர் மூலம், டெவலப்பர்கள் வெளியீட்டு கோப்புகள், கொள்கலன் படங்கள், மேனிஃபெஸ்ட்கள் மற்றும் இயங்கக்கூடியவை போன்ற பயன்பாடு தொடர்பான கலைப்பொருட்களை டிஜிட்டல் முறையில் கையொப்பமிடலாம். Sigstore இன் ஒரு சிறப்பு அம்சம் என்னவென்றால், கையொப்பமிடுவதற்குப் பயன்படுத்தப்படும் பொருள், சரிபார்ப்பு மற்றும் தணிக்கைக்கு பயன்படுத்தக்கூடிய சேதமடையாத பொது பதிவில் பிரதிபலிக்கிறது.
நிரந்தர விசைகளுக்குப் பதிலாக, சிக்ஸ்டோர் குறுகிய கால எபிமரல் விசைகளைப் பயன்படுத்துகிறது, அவை OpenID Connect வழங்குநர்களால் உறுதிப்படுத்தப்பட்ட நற்சான்றிதழ்களின் அடிப்படையில் உருவாக்கப்படுகின்றன (டிஜிட்டல் கையொப்பத்திற்கான விசைகளை உருவாக்கும் நேரத்தில், மின்னஞ்சலுடன் இணைக்கப்பட்ட OpenID வழங்குநர் மூலம் டெவலப்பர் தன்னை அடையாளம் கண்டுகொள்கிறார்). விசைகளின் நம்பகத்தன்மை பொது மையப்படுத்தப்பட்ட பதிவைப் பயன்படுத்தி சரிபார்க்கப்படுகிறது, இது கையொப்பத்தின் ஆசிரியர் அவர் தான் என்று சரியாகக் கூறுகிறாரா என்பதைச் சரிபார்க்க உதவுகிறது மற்றும் கடந்த வெளியீடுகளுக்குப் பொறுப்பான அதே பங்கேற்பாளரால் கையொப்பம் உருவாக்கப்பட்டது.
Sigstore நீங்கள் ஏற்கனவே பயன்படுத்தக்கூடிய ஒரு ஆயத்த சேவை மற்றும் உங்கள் சொந்த சாதனங்களில் இதே போன்ற சேவைகளை பயன்படுத்த அனுமதிக்கும் கருவிகளின் தொகுப்பு இரண்டையும் வழங்குகிறது. இந்த சேவை அனைத்து டெவலப்பர்கள் மற்றும் மென்பொருள் வழங்குநர்களுக்கு இலவசம், மேலும் இது ஒரு நடுநிலை தளமான லினக்ஸ் அறக்கட்டளையில் பயன்படுத்தப்படுகிறது. சேவையின் அனைத்து கூறுகளும் திறந்த மூலமாகும், Go இல் எழுதப்பட்டு Apache 2.0 உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது.
வளர்ந்த கூறுகளில் நாம் கவனிக்கலாம்:
- Rekor என்பது திட்டங்களைப் பற்றிய தகவல்களைப் பிரதிபலிக்கும் டிஜிட்டல் கையொப்பமிடப்பட்ட மெட்டாடேட்டாவைச் சேமிப்பதற்கான பதிவு செயலாக்கமாகும். உண்மைக்குப் பிறகு ஒருமைப்பாடு மற்றும் தரவு ஊழலில் இருந்து பாதுகாக்க, ஒரு மரம் போன்ற அமைப்பு "Merkle Tree" பயன்படுத்தப்படுகிறது, இதில் ஒவ்வொரு கிளையும் அனைத்து அடிப்படை கிளைகளையும் முனைகளையும் சரிபார்க்கிறது, கூட்டு (மரம் போன்ற) ஹேஷிங்கிற்கு நன்றி. இறுதி ஹாஷைக் கொண்டு, பயனர் செயல்பாடுகளின் முழு வரலாற்றின் சரியான தன்மையையும், தரவுத்தளத்தின் கடந்த நிலைகளின் சரியான தன்மையையும் சரிபார்க்க முடியும் (தரவுத்தளத்தின் புதிய நிலையின் ரூட் சரிபார்ப்பு ஹாஷ் கடந்த நிலையைக் கணக்கில் கொண்டு கணக்கிடப்படுகிறது. ) புதிய பதிவுகளைச் சரிபார்த்துச் சேர்க்க, ஒரு ரெஸ்ட்ஃபுல் ஏபிஐயும், கிளை இடைமுகமும் வழங்கப்படுகிறது.
- ஃபுல்சியோ (SigStore WebPKI) என்பது ஓபன்ஐடி கனெக்ட் மூலம் அங்கீகரிக்கப்பட்ட மின்னஞ்சலின் அடிப்படையில் குறுகிய கால சான்றிதழ்களை வழங்கும் சான்றிதழ் அதிகாரிகளை (ரூட்-சிஏக்கள்) உருவாக்குவதற்கான ஒரு அமைப்பாகும். சான்றிதழின் ஆயுட்காலம் 20 நிமிடங்கள் ஆகும், இதன் போது டெவெலப்பருக்கு டிஜிட்டல் கையொப்பத்தை உருவாக்க நேரம் இருக்க வேண்டும் (சான்றிதழ் பின்னர் தாக்குபவர்களின் கைகளில் விழுந்தால், அது ஏற்கனவே காலாவதியாகிவிடும்).
- Сosign (கன்டெய்னர் கையொப்பம்) என்பது கொள்கலன்களுக்கான கையொப்பங்களை உருவாக்குதல், கையொப்பங்களை சரிபார்த்தல் மற்றும் OCI (திறந்த கொள்கலன் முன்முயற்சி) உடன் இணக்கமான களஞ்சியங்களில் கையொப்பமிடப்பட்ட கொள்கலன்களை வைப்பதற்கான ஒரு கருவித்தொகுப்பாகும்.
ஆதாரம்: opennet.ru