ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Red Hat మరియు Google క్రిప్టోగ్రాఫిక్ కోడ్ ధృవీకరణ కోసం సిగ్‌స్టోర్ సేవను ప్రవేశపెట్టాయి

Red Hat మరియు Google క్రిప్టోగ్రాఫిక్ కోడ్ ధృవీకరణ కోసం సిగ్‌స్టోర్ సేవను ప్రవేశపెట్టాయి

Red Hat మరియు Google, పర్డ్యూ విశ్వవిద్యాలయంతో కలిసి, డిజిటల్ సంతకాలను ఉపయోగించి సాఫ్ట్‌వేర్‌ను ధృవీకరించడం కోసం సాధనాలు మరియు సేవలను రూపొందించడం మరియు ప్రామాణికతను (పారదర్శకత లాగ్) నిర్ధారించడానికి పబ్లిక్ లాగ్‌ను నిర్వహించడం లక్ష్యంగా సిగ్‌స్టోర్ ప్రాజెక్ట్‌ను స్థాపించారు. లాభాపేక్ష లేని సంస్థ Linux ఫౌండేషన్ ఆధ్వర్యంలో ఈ ప్రాజెక్ట్ అభివృద్ధి చేయబడుతుంది.

ప్రతిపాదిత ప్రాజెక్ట్ సాఫ్ట్‌వేర్ పంపిణీ ఛానెల్‌ల భద్రతను మెరుగుపరుస్తుంది మరియు సాఫ్ట్‌వేర్ భాగాలు మరియు డిపెండెన్సీలను (సరఫరా గొలుసు) భర్తీ చేయడానికి ఉద్దేశించిన దాడుల నుండి రక్షిస్తుంది. ఓపెన్ సోర్స్ సాఫ్ట్‌వేర్‌లోని ప్రధాన భద్రతా సమస్యలలో ఒకటి ప్రోగ్రామ్ యొక్క మూలాన్ని ధృవీకరించడంలో మరియు బిల్డ్ ప్రాసెస్‌ను ధృవీకరించడంలో ఇబ్బంది. ఉదాహరణకు, చాలా ప్రాజెక్ట్‌లు విడుదల యొక్క సమగ్రతను ధృవీకరించడానికి హాష్‌లను ఉపయోగిస్తాయి, అయితే తరచుగా ప్రమాణీకరణకు అవసరమైన సమాచారం అసురక్షిత సిస్టమ్‌లలో మరియు షేర్డ్ కోడ్ రిపోజిటరీలలో నిల్వ చేయబడుతుంది, దీని ఫలితంగా దాడి చేసేవారు ధృవీకరణకు అవసరమైన ఫైల్‌లను రాజీ చేయవచ్చు మరియు హానికరమైన మార్పులను ప్రవేశపెట్టవచ్చు. అనుమానం రాకుండా.

కీలను నిర్వహించడం, పబ్లిక్ కీలను పంపిణీ చేయడం మరియు రాజీపడిన కీలను ఉపసంహరించుకోవడంలో ఉన్న ఇబ్బందుల కారణంగా విడుదలలను పంపిణీ చేసేటప్పుడు ప్రాజెక్ట్‌లలో కొద్ది భాగం మాత్రమే డిజిటల్ సంతకాలను ఉపయోగిస్తాయి. ధృవీకరణ అర్ధవంతం కావడానికి, పబ్లిక్ కీలు మరియు చెక్‌సమ్‌లను పంపిణీ చేయడానికి నమ్మకమైన మరియు సురక్షితమైన ప్రక్రియను నిర్వహించడం కూడా అవసరం. డిజిటల్ సంతకంతో కూడా, చాలా మంది వినియోగదారులు ధృవీకరణను విస్మరిస్తారు ఎందుకంటే వారు ధృవీకరణ ప్రక్రియను అధ్యయనం చేయడానికి మరియు ఏ కీ నమ్మదగినదో అర్థం చేసుకోవడానికి సమయాన్ని వెచ్చించాలి.

సిగ్‌స్టోర్ కోడ్ కోసం లెట్స్ ఎన్‌క్రిప్ట్‌కి సమానమైనదిగా ప్రచారం చేయబడింది, డిజిటల్‌గా సంతకం చేసే కోడ్ కోసం సర్టిఫికేట్‌లను మరియు ధృవీకరణను ఆటోమేట్ చేయడానికి సాధనాలను అందిస్తుంది. సిగ్‌స్టోర్‌తో, డెవలపర్‌లు విడుదల ఫైల్‌లు, కంటైనర్ ఇమేజ్‌లు, మానిఫెస్ట్‌లు మరియు ఎక్జిక్యూటబుల్స్ వంటి అప్లికేషన్-సంబంధిత కళాఖండాలపై డిజిటల్‌గా సంతకం చేయవచ్చు. సిగ్‌స్టోర్ యొక్క ప్రత్యేక లక్షణం ఏమిటంటే, సంతకం చేయడానికి ఉపయోగించిన మెటీరియల్ ధృవీకరణ మరియు ఆడిటింగ్ కోసం ఉపయోగించబడే ట్యాంపర్ ప్రూఫ్ పబ్లిక్ లాగ్‌లో ప్రతిబింబిస్తుంది.

శాశ్వత కీలకు బదులుగా, Sigstore స్వల్పకాలిక ఎఫెమెరల్ కీలను ఉపయోగిస్తుంది, ఇవి OpenID Connect ప్రొవైడర్‌లచే ధృవీకరించబడిన ఆధారాల ఆధారంగా రూపొందించబడతాయి (డిజిటల్ సంతకం కోసం కీలను రూపొందించే సమయంలో, డెవలపర్ ఇమెయిల్‌కి లింక్ చేయబడిన OpenID ప్రొవైడర్ ద్వారా తనను తాను గుర్తిస్తాడు). కీల యొక్క ప్రామాణికత పబ్లిక్ సెంట్రలైజ్డ్ లాగ్‌ని ఉపయోగించి ధృవీకరించబడుతుంది, ఇది సంతకం యొక్క రచయిత ఖచ్చితంగా అతను క్లెయిమ్ చేసిన వ్యక్తి అని ధృవీకరించడం సాధ్యపడుతుంది మరియు గత విడుదలలకు బాధ్యత వహించిన అదే పాల్గొనేవారిచే సంతకం రూపొందించబడింది.

Sigstore మీరు ఇప్పటికే ఉపయోగించగల ఒక రెడీమేడ్ సేవ మరియు మీ స్వంత పరికరాలలో సారూప్య సేవలను అమలు చేయడానికి మిమ్మల్ని అనుమతించే సాధనాల సమితి రెండింటినీ అందిస్తుంది. డెవలపర్‌లు మరియు సాఫ్ట్‌వేర్ ప్రొవైడర్లందరికీ ఈ సేవ ఉచితం మరియు తటస్థ ప్లాట్‌ఫారమ్ - Linux ఫౌండేషన్‌లో అమలు చేయబడుతుంది. సేవ యొక్క అన్ని భాగాలు ఓపెన్ సోర్స్, గోలో వ్రాయబడి Apache 2.0 లైసెన్స్ క్రింద పంపిణీ చేయబడతాయి.

అభివృద్ధి చెందిన భాగాలలో మనం గమనించవచ్చు:

  • Rekor అనేది ప్రాజెక్ట్‌ల గురించి సమాచారాన్ని ప్రతిబింబించే డిజిటల్ సంతకం చేసిన మెటాడేటాను నిల్వ చేయడానికి లాగ్ అమలు. సమగ్రతను నిర్ధారించడానికి మరియు వాస్తవం తర్వాత డేటా అవినీతికి వ్యతిరేకంగా రక్షించడానికి, చెట్టు-వంటి నిర్మాణం "మెర్కిల్ ట్రీ" ఉపయోగించబడుతుంది, దీనిలో ప్రతి శాఖ ఉమ్మడి (చెట్టు లాంటి) హ్యాషింగ్‌కు ధన్యవాదాలు, అన్ని అంతర్లీన శాఖలు మరియు నోడ్‌లను ధృవీకరిస్తుంది. చివరి హాష్ కలిగి, వినియోగదారు మొత్తం కార్యకలాపాల చరిత్ర యొక్క ఖచ్చితత్వాన్ని, అలాగే డేటాబేస్ యొక్క గత స్థితి యొక్క ఖచ్చితత్వాన్ని ధృవీకరించవచ్చు (డేటాబేస్ యొక్క కొత్త స్థితి యొక్క రూట్ ధృవీకరణ హాష్ గత స్థితిని పరిగణనలోకి తీసుకొని లెక్కించబడుతుంది ) కొత్త రికార్డ్‌లను ధృవీకరించడానికి మరియు జోడించడానికి, రెస్ట్‌ఫుల్ API అందించబడుతుంది, అలాగే క్లి ఇంటర్‌ఫేస్ అందించబడుతుంది.
  • Fulcio (SigStore WebPKI) అనేది OpenID Connect ద్వారా ప్రామాణీకరించబడిన ఇమెయిల్ ఆధారంగా స్వల్పకాలిక సర్టిఫికేట్‌లను జారీ చేసే ధృవీకరణ అధికారాలను (రూట్-CAలు) సృష్టించే వ్యవస్థ. సర్టిఫికేట్ జీవితకాలం 20 నిమిషాలు, ఈ సమయంలో డెవలపర్ తప్పనిసరిగా డిజిటల్ సంతకాన్ని రూపొందించడానికి సమయాన్ని కలిగి ఉండాలి (సర్టిఫికేట్ దాడి చేసే వ్యక్తి చేతిలోకి వస్తే, అది ఇప్పటికే గడువు ముగిసిపోతుంది).
  • Сosign (కంటైనర్ సంతకం) అనేది కంటైనర్‌ల కోసం సంతకాలను రూపొందించడానికి, సంతకాలను ధృవీకరించడానికి మరియు OCI (ఓపెన్ కంటైనర్ ఇనిషియేటివ్)కి అనుకూలమైన రిపోజిటరీలలో సంతకం చేసిన కంటైనర్‌లను ఉంచడానికి ఒక టూల్‌కిట్.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి