گوگل نے سگ اسٹور پراجیکٹ بنانے والے اجزاء کی پہلی مستحکم ریلیز کی تشکیل کا اعلان کیا، جسے کام کے نفاذ کے لیے موزوں قرار دیا گیا ہے۔ Sigstore ڈیجیٹل دستخطوں کا استعمال کرتے ہوئے سافٹ ویئر کی تصدیق کے لیے ٹولز اور خدمات تیار کرتا ہے اور تبدیلیوں کی صداقت (شفافیت لاگ) کی تصدیق کرنے والے عوامی لاگ کو برقرار رکھتا ہے۔ یہ پروجیکٹ Google، Red Hat، Cisco، vmWare، GitHub اور HP انٹرپرائز کے ذریعہ OpenSSF (اوپن سورس سیکیورٹی فاؤنڈیشن) تنظیم اور پرڈیو یونیورسٹی کے تعاون سے غیر منافع بخش تنظیم لینکس فاؤنڈیشن کے زیر اہتمام تیار کیا جا رہا ہے۔
سگ اسٹور کو لیٹس انکرپٹ فار کوڈ کے ینالاگ کے طور پر سوچا جا سکتا ہے، جو ڈیجیٹل طور پر دستخط کرنے والے کوڈ کے لیے سرٹیفکیٹ اور خودکار تصدیق کے لیے ٹولز فراہم کرتا ہے۔ سگ اسٹور کے ساتھ، ڈویلپرز ایپلیکیشن سے متعلقہ نمونے جیسے ریلیز فائلز، کنٹینر امیجز، مینی فیسٹ، اور ایگزیکیوٹیبل پر ڈیجیٹل طور پر دستخط کر سکتے ہیں۔ دستخطی مواد چھیڑ چھاڑ سے پاک پبلک لاگ میں جھلکتا ہے جسے تصدیق اور آڈیٹنگ کے لیے استعمال کیا جا سکتا ہے۔
مستقل کلیدوں کے بجائے، سگ اسٹور قلیل المدتی کلیدوں کا استعمال کرتا ہے، جو OpenID Connect فراہم کنندگان کے ذریعے تصدیق شدہ اسناد کی بنیاد پر تیار کی جاتی ہیں (ڈیجیٹل دستخط بنانے کے لیے ضروری کلیدیں تیار کرنے کے وقت، ڈویلپر اپنی شناخت اوپن آئی ڈی فراہم کنندہ کے ذریعے کرتا ہے ای میل)۔ چابیاں کی صداقت کی تصدیق عوامی مرکزی لاگ کا استعمال کرتے ہوئے کی جاتی ہے، جس سے اس بات کی تصدیق ممکن ہو جاتی ہے کہ دستخط کا مصنف بالکل وہی ہے جس کا وہ دعویٰ کرتا ہے، اور دستخط اسی شریک کے ذریعہ تیار کیے گئے تھے جو ماضی کی ریلیز کے لیے ذمہ دار تھے۔
عمل درآمد کے لیے سگ اسٹور کی تیاری دو اہم اجزاء - Rekor 1.0 اور Fulcio 1.0 کی ریلیز کی تشکیل کی وجہ سے ہے، جن کے سافٹ ویئر انٹرفیس کو مستحکم قرار دیا گیا ہے اور وہ پسماندہ مطابقت پذیر رہیں گے۔ سروس کے اجزاء گو میں لکھے گئے ہیں اور اپاچی 2.0 لائسنس کے تحت تقسیم کیے گئے ہیں۔
Rekor جزو ڈیجیٹل طور پر دستخط شدہ میٹا ڈیٹا کو ذخیرہ کرنے کے لیے لاگ ان پر مشتمل ہے جو پروجیکٹس کے بارے میں معلومات کی عکاسی کرتا ہے۔ سالمیت کو یقینی بنانے اور اس حقیقت کے بعد ڈیٹا کی بدعنوانی کے خلاف تحفظ کے لیے، مرکل ٹری کے درخت کا ڈھانچہ استعمال کیا جاتا ہے، جس میں ہر شاخ مشترکہ (ٹری) ہیشنگ کے ذریعے تمام بنیادی شاخوں اور نوڈس کی تصدیق کرتی ہے۔ حتمی ہیش کے ساتھ، صارف آپریشن کی پوری تاریخ کی درستگی کے ساتھ ساتھ ڈیٹا بیس کی ماضی کی حالتوں کی درستگی کی تصدیق کر سکتا ہے (ڈیٹا بیس کی نئی حالت کے روٹ کی تصدیق کے ہیش کا حساب ماضی کی حالت کو مدنظر رکھتے ہوئے کیا جاتا ہے۔ )۔ ایک RESTful API تصدیق اور نئے ریکارڈز شامل کرنے کے ساتھ ساتھ کمانڈ لائن انٹرفیس کے لیے فراہم کیا جاتا ہے۔
Fulcio جزو (SigStore WebPKI) میں سرٹیفیکیشن اتھارٹیز (روٹ CAs) بنانے کا ایک نظام شامل ہے جو OpenID کنیکٹ کے ذریعے تصدیق شدہ ای میل کی بنیاد پر مختصر مدت کے سرٹیفکیٹ جاری کرتا ہے۔ سرٹیفکیٹ کی لائف ٹائم 20 منٹ ہے، جس کے دوران ڈیولپر کے پاس ڈیجیٹل دستخط تیار کرنے کا وقت ہونا چاہیے (اگر سرٹیفکیٹ بعد میں کسی حملہ آور کے ہاتھ میں آجاتا ہے، تو اس کی میعاد ختم ہو جائے گی)۔ مزید برآں، پروجیکٹ Cosign (کنٹینر سائننگ) ٹول کٹ تیار کر رہا ہے، جو کنٹینرز کے لیے دستخط پیدا کرنے، دستخطوں کی تصدیق کرنے اور دستخط شدہ کنٹینرز کو OCI (اوپن کنٹینر انیشی ایٹو) کے ساتھ ہم آہنگ ریپوزٹریوں میں رکھنے کے لیے ڈیزائن کیا گیا ہے۔
سگ اسٹور کے نفاذ سے پروگرام ڈسٹری بیوشن چینلز کی سیکیورٹی کو بڑھانا اور لائبریریوں اور انحصار (سپلائی چین) کو تبدیل کرنے کے لیے حملوں سے تحفظ ممکن بناتا ہے۔ اوپن سورس سافٹ ویئر میں سیکیورٹی کے اہم مسائل میں سے ایک پروگرام کے ماخذ کی تصدیق اور تعمیراتی عمل کی تصدیق کرنے میں دشواری ہے۔ مثال کے طور پر، زیادہ تر پروجیکٹس ریلیز کی سالمیت کی تصدیق کے لیے ہیشز کا استعمال کرتے ہیں، لیکن اکثر تصدیق کے لیے ضروری معلومات غیر محفوظ سسٹمز اور مشترکہ کوڈ ریپوزٹریز میں محفوظ کی جاتی ہیں، جس کے نتیجے میں حملہ آور تصدیق کے لیے ضروری فائلوں سے سمجھوتہ کر سکتے ہیں اور بدنیتی پر مبنی تبدیلیاں متعارف کروا سکتے ہیں۔ شک پیدا کیے بغیر۔
ریلیز کی تصدیق کے لیے ڈیجیٹل دستخطوں کا استعمال چابیاں کے انتظام، عوامی چابیاں تقسیم کرنے، اور سمجھوتہ شدہ کیز کو منسوخ کرنے میں مشکلات کی وجہ سے ابھی تک وسیع نہیں ہوا ہے۔ توثیق کو معنی خیز بنانے کے لیے، عوامی چابیاں اور چیکسم کی تقسیم کے لیے ایک قابل اعتماد اور محفوظ عمل کو منظم کرنا بھی ضروری ہے۔ یہاں تک کہ ڈیجیٹل دستخط کے ساتھ، بہت سے صارفین تصدیق کو نظر انداز کر دیتے ہیں کیونکہ انہیں تصدیق کے عمل کو سیکھنے اور یہ سمجھنے میں وقت گزارنا پڑتا ہے کہ کون سی کلید قابل اعتماد ہے۔ سگ اسٹور پروجیکٹ ایک تیار شدہ اور ثابت شدہ حل فراہم کرکے ان عملوں کو آسان اور خودکار بنانے کی کوشش کرتا ہے۔
ماخذ: opennet.ru