রেড হ্যাট এবং গুগল পার্ডিউ বিশ্ববিদ্যালয়ের সাথে সম্প্রতি সিগস্টোর প্রকল্পটি প্রতিষ্ঠার ঘোষণা দিয়েছে, কার উদ্দেশ্য হ'ল ডিজিটাল স্বাক্ষর ব্যবহার করে সফ্টওয়্যার যাচাই করার জন্য সরঞ্জাম এবং পরিষেবা তৈরি করা এবং জনসাধারণের স্বচ্ছতার রেজিস্ট্রি বজায় রাখুন। এই প্রকল্পটি একটি অলাভজনক সংস্থা লিনাক্স ফাউন্ডেশনের সহায়তায় বিকশিত হবে।
প্রস্তাবিত প্রকল্প সফ্টওয়্যার বিতরণ চ্যানেলগুলির সুরক্ষা বাড়িয়ে তুলুন এবং লক্ষ্যযুক্ত আক্রমণ থেকে রক্ষা করুন সফ্টওয়্যার উপাদান এবং নির্ভরতা (সরবরাহ চেইন) প্রতিস্থাপন। ওপেন সোর্স সফ্টওয়্যার-এর মূল সুরক্ষার উদ্বেগগুলির মধ্যে একটি হ'ল প্রোগ্রামের উত্স যাচাই করা এবং বিল্ড প্রক্রিয়াটি যাচাই করা অসুবিধা।
উদাহরণস্বরূপ, কোনও সংস্করণের অখণ্ডতা যাচাই করতে, বেশিরভাগ প্রকল্পে হ্যাশ ব্যবহার করা হয়, তবে প্রায়শই প্রমাণীকরণের জন্য প্রয়োজনীয় তথ্য সুরক্ষিত সিস্টেমগুলিতে এবং ভাগ করা কোড ভাণ্ডারগুলিতে সংরক্ষণ করা হয়, সমঝোতার ফলে আক্রমণকারী যাচাইয়ের জন্য প্রয়োজনীয় ফাইলগুলি প্রতিস্থাপন করতে পারে এবং সন্দেহ জাগ্রত না করে, দূষিত পরিবর্তনগুলি প্রবর্তন করতে পারে।
কেবলমাত্র সংখ্যালঘু প্রকল্পই কী পরিচালনার জটিলতার কারণে প্রকাশ বিতরণ করতে ডিজিটাল স্বাক্ষর ব্যবহার করে, পাবলিক কী বিতরণ এবং আপোসযুক্ত কীগুলি প্রত্যাহার। সত্যতা যাচাই করার জন্য, আপনাকে পাবলিক কী এবং চেকসাম বিতরণের জন্য একটি নির্ভরযোগ্য এবং সুরক্ষিত প্রক্রিয়াও সংগঠিত করতে হবে। এমনকি ডিজিটাল স্বাক্ষর সহ, অনেক ব্যবহারকারী যাচাইকরণ প্রক্রিয়াটি অধ্যয়ন করতে এবং কোন কীটি বিশ্বাসযোগ্য তা বুঝতে সময় লাগে বলে যাচাইকরণটিকে উপেক্ষা করে।
সিগস্টোর সম্পর্কে
সিগস্টোরকে লেটস এনক্রিপ্ট অ্যানালগ হিসাবে প্রচার করা হয় কোডের জন্য, পিডিজিটাল কোড স্বাক্ষরকরণের জন্য শংসাপত্র সরবরাহ করে যাচাইকরণ স্বয়ংক্রিয় করার জন্য সরঞ্জামগুলি। সিগস্টোরের সাহায্যে ডেভেলপাররা লঞ্চ ফাইল, ধারক চিত্র, উদ্ভাসক এবং এক্সিকিউটেবলের মতো অ্যাপ্লিকেশন-সম্পর্কিত শিল্পকর্মগুলিতে ডিজিটালি স্বাক্ষর করতে পারে। সিগস্টোরের একটি বৈশিষ্ট্য হ'ল সই করার জন্য ব্যবহৃত উপাদানগুলি পরিবর্তনগুলি থেকে রক্ষা পাবলিক রেকর্ডে প্রতিফলিত হয়, যা যাচাইকরণ এবং নিরীক্ষণের জন্য ব্যবহার করা যেতে পারে।
ধ্রুব কীগুলির পরিবর্তে, সিগস্টোর স্বল্প-কালীন সাময়িক কীগুলি ব্যবহার করে, ওপেনআইডি সংযোগ সরবরাহকারীদের দ্বারা নিশ্চিত হওয়া শংসাপত্রগুলির ভিত্তিতে এগুলি তৈরি করা হয় (সেই সময়ে ডিজিটাল স্বাক্ষরের কীগুলি উত্পন্ন হওয়ার সময়, বিকাশকারী একটি ইমেল লিঙ্কের সাহায্যে ওপেনআইডি সরবরাহকারীর মাধ্যমে চিহ্নিত হয়)। কীগুলির সত্যতা কেন্দ্রীভূত জনসাধারণের রেকর্ডের বিপরীতে পরীক্ষা করা হয়, আপনাকে স্বাক্ষরকারীটির লেখক হ'ল তিনিই যিনি দাবি করেছেন তা নিশ্চিত করতে এবং স্বাক্ষরটি পূর্ববর্তী সংস্করণগুলির জন্য দায়ী একই অংশগ্রহণকারী দ্বারা তৈরি হয়েছিল তা নিশ্চিত করার অনুমতি দেয়।
সিগস্টোর একটি ব্যবহারযোগ্য প্রস্তুত পরিষেবা এবং সরঞ্জামগুলির একটি সেট সরবরাহ করে যা আপনাকে আপনার কম্পিউটারে অনুরূপ পরিষেবাদি প্রয়োগ করতে দেয়। পরিষেবাটি সমস্ত সফ্টওয়্যার বিকাশকারী এবং বিক্রেতাদের জন্য বিনামূল্যে এবং একটি নিরপেক্ষ প্ল্যাটফর্ম: লিনাক্স ফাউন্ডেশন এ প্রয়োগ করা হয় implemented পরিষেবার সমস্ত উপাদানগুলি ওপেন সোর্স, গো ভাষায় লিখিত এবং অ্যাপাচি ২.০ লাইসেন্সের অধীনে বিতরণ করা হয়েছে।
যে উপাদানগুলি বিকাশ করা হচ্ছে তার মধ্যে এটি উল্লেখ করা যেতে পারে:
- রেকর: ডিজিটালি স্বাক্ষরিত মেটাডেটা সংরক্ষণ করার জন্য একটি রেজিস্ট্রি প্রয়োগ যা প্রকল্পগুলি সম্পর্কে তথ্য প্রতিফলিত করে। ডেটা বিকৃতির বিরুদ্ধে অখণ্ডতা এবং সুরক্ষা গ্যারান্টি হিসাবে, "ট্রি Merkle" গাছ কাঠামো retroactively ব্যবহৃত হয়, যেখানে প্রতিটি শাখা একটি হ্যাশ ফাংশন ধন্যবাদ, সমস্ত থ্রেড এবং অন্তর্নিহিত উপাদান যাচাই করে।
- ফুলসিও (সিগস্টোর ওয়েবপিকেআই) শংসাপত্র কর্তৃপক্ষ তৈরির জন্য একটি সিস্টেম (রুট-সিএ) ওপেনআইডি কানেক্টের মাধ্যমে প্রমাণীকরণযোগ্য ইমেলের উপর ভিত্তি করে স্বল্প-জীবন শংসাপত্র জারি করে। শংসাপত্রটির আজীবন 20 মিনিট, সেই সময়ে বিকাশকারীকে ডিজিটাল স্বাক্ষর তৈরি করার সময় থাকতে হবে (ভবিষ্যতে যদি শংসাপত্রটি আক্রমণকারীর হাতে পড়ে, এটি শেষ হয়ে যাবে)।
- কনটেইনারগুলিতে স্বাক্ষর তৈরির জন্য সরঞ্জামগুলির একটি সেট ignসাইন (কনটেইনার স্বাক্ষরকরণ), স্বাক্ষরগুলি যাচাই করুন এবং ওসিআই (ওপেন কনটেইনার ইনিশিয়েটিভ) অনুবর্তী সংগ্রহস্থলগুলিতে স্বাক্ষরিত পাত্রে রাখুন।
অবশেষে, আপনি যদি এই প্রকল্পটি সম্পর্কে আরও জানতে আগ্রহী হন তবে আপনি বিশদটি পরামর্শ করতে পারেন নীচের লিঙ্কে।