ریڈ ہیٹ اور گوگل نے پرڈیو یونیورسٹی کے ساتھ مل کر سگ اسٹور پروجیکٹ کی بنیاد رکھی، جس کا مقصد ڈیجیٹل دستخطوں کا استعمال کرتے ہوئے سافٹ ویئر کی تصدیق کرنے اور صداقت (شفافیت لاگ) کی تصدیق کے لیے عوامی لاگ کو برقرار رکھنے کے لیے ٹولز اور خدمات بنانا تھا۔ یہ منصوبہ غیر منافع بخش تنظیم لینکس فاؤنڈیشن کے زیر اہتمام تیار کیا جائے گا۔
مجوزہ پروجیکٹ سافٹ ویئر ڈسٹری بیوشن چینلز کی سیکیورٹی کو بہتر بنائے گا اور حملوں سے حفاظت کرے گا جس کا مقصد سافٹ ویئر کے اجزاء اور انحصار (سپلائی چین) کو تبدیل کرنا ہے۔ اوپن سورس سافٹ ویئر میں سیکیورٹی کے اہم مسائل میں سے ایک پروگرام کے ماخذ کی تصدیق اور تعمیراتی عمل کی تصدیق کرنے میں دشواری ہے۔ مثال کے طور پر، زیادہ تر پروجیکٹس ریلیز کی سالمیت کی تصدیق کے لیے ہیشز کا استعمال کرتے ہیں، لیکن اکثر تصدیق کے لیے ضروری معلومات غیر محفوظ سسٹمز اور مشترکہ کوڈ ریپوزٹریز میں محفوظ کی جاتی ہیں، جس کے نتیجے میں حملہ آور تصدیق کے لیے ضروری فائلوں سے سمجھوتہ کر سکتے ہیں اور نقصان دہ تبدیلیاں متعارف کروا سکتے ہیں۔ شک پیدا کیے بغیر۔
کلیدوں کے نظم و نسق، عوامی چابیاں تقسیم کرنے، اور سمجھوتہ شدہ کلیدوں کو منسوخ کرنے میں مشکلات کی وجہ سے ریلیز تقسیم کرتے وقت پروجیکٹس کا صرف ایک چھوٹا سا حصہ ڈیجیٹل دستخطوں کا استعمال کرتا ہے۔ توثیق کو معنی خیز بنانے کے لیے، عوامی چابیاں اور چیک سموں کی تقسیم کے لیے ایک قابل اعتماد اور محفوظ عمل کو منظم کرنا بھی ضروری ہے۔ یہاں تک کہ ڈیجیٹل دستخط کے ساتھ، بہت سے صارفین تصدیق کو نظر انداز کر دیتے ہیں کیونکہ انہیں تصدیق کے عمل کا مطالعہ کرنے اور یہ سمجھنے میں وقت گزارنے کی ضرورت ہوتی ہے کہ کون سی کلید قابل اعتماد ہے۔
سگ اسٹور کو کوڈ کے لیے لیٹس انکرپٹ کے برابر قرار دیا جاتا ہے، جو ڈیجیٹل طور پر دستخط کرنے والے کوڈ کے لیے سرٹیفکیٹ اور خودکار تصدیق کے لیے ٹولز فراہم کرتا ہے۔ سگ اسٹور کے ساتھ، ڈویلپرز ایپلیکیشن سے متعلقہ نمونے جیسے ریلیز فائلز، کنٹینر امیجز، مینی فیسٹ، اور ایگزیکیوٹیبل پر ڈیجیٹل طور پر دستخط کر سکتے ہیں۔ سگ اسٹور کی ایک خاص خصوصیت یہ ہے کہ دستخط کرنے کے لیے استعمال ہونے والا مواد چھیڑ چھاڑ سے پاک پبلک لاگ میں جھلکتا ہے جسے تصدیق اور آڈیٹنگ کے لیے استعمال کیا جا سکتا ہے۔
مستقل کلیدوں کے بجائے، سگ اسٹور قلیل المدتی کلیدوں کا استعمال کرتا ہے، جو OpenID Connect فراہم کنندگان کے ذریعے تصدیق شدہ اسناد کی بنیاد پر تیار کی جاتی ہیں (ڈیجیٹل دستخط کے لیے کیز بنانے کے وقت، ڈویلپر ای میل سے منسلک OpenID فراہم کنندہ کے ذریعے اپنی شناخت کرتا ہے)۔ چابیاں کی صداقت کی تصدیق عوامی مرکزی لاگ کا استعمال کرتے ہوئے کی جاتی ہے، جس سے اس بات کی تصدیق ممکن ہو جاتی ہے کہ دستخط کا مصنف بالکل وہی ہے جس کا وہ دعویٰ کرتا ہے اور دستخط اسی شریک نے بنائے تھے جو ماضی کی ریلیز کا ذمہ دار تھا۔
سگ اسٹور ایک ریڈی میڈ سروس فراہم کرتا ہے جسے آپ پہلے سے استعمال کر سکتے ہیں، اور ٹولز کا ایک سیٹ جو آپ کو اپنے آلات پر اسی طرح کی خدمات تعینات کرنے کی اجازت دیتا ہے۔ سروس تمام ڈویلپرز اور سافٹ ویئر فراہم کرنے والوں کے لیے مفت ہے، اور اسے ایک غیر جانبدار پلیٹ فارم - لینکس فاؤنڈیشن پر تعینات کیا گیا ہے۔ سروس کے تمام اجزاء اوپن سورس ہیں، جو گو میں لکھے گئے ہیں اور اپاچی 2.0 لائسنس کے تحت تقسیم کیے گئے ہیں۔
ترقی یافتہ اجزاء میں سے ہم نوٹ کر سکتے ہیں:
- Rekor ڈیجیٹل طور پر دستخط شدہ میٹا ڈیٹا کو ذخیرہ کرنے کے لیے لاگ ان عمل درآمد ہے جو پروجیکٹس کے بارے میں معلومات کی عکاسی کرتا ہے۔ سالمیت کو یقینی بنانے اور اس حقیقت کے بعد ڈیٹا کی بدعنوانی کے خلاف تحفظ کے لیے، درخت کی طرح کا ڈھانچہ "Merkle Tree" استعمال کیا جاتا ہے، جس میں ہر شاخ مشترکہ (درخت نما) ہیشنگ کی بدولت تمام بنیادی شاخوں اور نوڈس کی تصدیق کرتی ہے۔ حتمی ہیش کے ساتھ، صارف آپریشن کی پوری تاریخ کی درستگی کے ساتھ ساتھ ڈیٹا بیس کی ماضی کی حالتوں کی درستگی کی تصدیق کر سکتا ہے (ڈیٹا بیس کی نئی حالت کے روٹ کی تصدیق کے ہیش کا حساب ماضی کی حالت کو مدنظر رکھتے ہوئے کیا جاتا ہے۔ )۔ نئے ریکارڈز کی تصدیق اور اضافہ کرنے کے لیے، ایک آرام دہ API فراہم کیا جاتا ہے، ساتھ ہی ایک cli انٹرفیس بھی۔
- Fulcio (SigStore WebPKI) سرٹیفیکیشن اتھارٹیز (Root-CAs) بنانے کا ایک نظام ہے جو OpenID Connect کے ذریعے تصدیق شدہ ای میل کی بنیاد پر مختصر مدت کے سرٹیفکیٹ جاری کرتا ہے۔ سرٹیفکیٹ کی لائف ٹائم 20 منٹ ہے، جس کے دوران ڈیولپر کے پاس ڈیجیٹل دستخط تیار کرنے کا وقت ہونا چاہیے (اگر سرٹیفکیٹ بعد میں کسی حملہ آور کے ہاتھ میں آجاتا ہے، تو اس کی میعاد ختم ہو جائے گی)۔
- Сosign (کنٹینر سائننگ) کنٹینرز کے لیے دستخط تیار کرنے، دستخطوں کی تصدیق کرنے اور OCI (اوپن کنٹینر انیشی ایٹو) کے ساتھ ہم آہنگ ریپوزٹریوں میں دستخط شدہ کنٹینرز رکھنے کے لیے ایک ٹول کٹ ہے۔
ماخذ: opennet.ru