সিগস্টোর, ক্রিপ্টোগ্রাফিক যাচাইকরণ সিস্টেম ইতিমধ্যে স্থিতিশীল

গুগল উন্মোচন একটি ব্লগ পোস্টের মাধ্যমে, এর ঘোষণা এর প্রথম স্থিতিশীল সংস্করণগুলির গঠন যে উপাদানগুলি প্রকল্প তৈরি করে সিগস্টোর, যা কাজের স্থাপনা তৈরির জন্য উপযুক্ত বলে ঘোষণা করা হয়।

যারা সিগস্টোর সম্পর্কে জানেন না, তাদের জানা উচিত যে এটি একটি প্রকল্প সফ্টওয়্যার যাচাইকরণের জন্য সরঞ্জাম এবং পরিষেবাগুলি বিকাশ এবং প্রদানের উদ্দেশ্য রয়েছে৷ ডিজিটাল স্বাক্ষর ব্যবহার করা এবং একটি পাবলিক রেজিস্ট্রি বজায় রাখা যা পরিবর্তনগুলির সত্যতা নিশ্চিত করে (স্বচ্ছতা রেজিস্ট্রি)।

সিগস্টোরের সাথে, বিকাশকারীরা ডিজিটাল সাইন করতে পারেন অ্যাপ্লিকেশন-সম্পর্কিত শিল্পকর্ম যেমন রিলিজ ফাইল, ধারক চিত্র, ম্যানিফেস্ট এবং এক্সিকিউটেবল। জন্য ব্যবহৃত উপাদান স্বাক্ষর একটি টেম্পার-প্রুফ পাবলিক রেকর্ডে প্রতিফলিত হয় যা যাচাই এবং নিরীক্ষার জন্য ব্যবহার করা যেতে পারে।

স্থায়ী চাবির পরিবর্তে, Sigstore স্বল্পস্থায়ী ক্ষণস্থায়ী কী ব্যবহার করে যেগুলি OpenID Connect প্রদানকারীদের দ্বারা যাচাইকৃত শংসাপত্রের উপর ভিত্তি করে তৈরি করা হয় (একটি ডিজিটাল স্বাক্ষর তৈরি করার জন্য প্রয়োজনীয় কীগুলি তৈরি করার সময়, বিকাশকারীকে একটি ইমেল লিঙ্ক সহ OpenID প্রদানকারীর মাধ্যমে সনাক্ত করা হয়)।

কীগুলির সত্যতা একটি কেন্দ্রীভূত পাবলিক রেজিস্ট্রি দ্বারা যাচাই করা হয়, যা আপনাকে নিশ্চিত করতে দেয় যে স্বাক্ষরের লেখক ঠিক সেই ব্যক্তি যাকে তারা বলেছে এবং স্বাক্ষরটি একই অংশগ্রহণকারীর দ্বারা গঠিত হয়েছিল যারা পূর্ববর্তী সংস্করণগুলির জন্য দায়ী ছিল৷

সিগস্টোরের প্রস্তুতি বাস্তবায়নের জন্য এটা কারণে হয় দুটি মূল উপাদানের সংস্করণ: Rekor 1.0 এবং Fulcio 1.0, যার প্রোগ্রামিং ইন্টারফেসগুলিকে স্থিতিশীল ঘোষণা করা হয়েছে এবং অতঃপর পূর্ববর্তী সংস্করণগুলির সাথে সামঞ্জস্য বজায় রাখা হয়েছে। পরিষেবার উপাদানগুলি Go-তে লেখা আছে এবং Apache 2.0 লাইসেন্সের অধীনে প্রকাশিত হয়েছে৷

উপাদান Rekor ডিজিটাল স্বাক্ষরিত মেটাডেটা সংরক্ষণ করার জন্য একটি রেজিস্ট্রি বাস্তবায়ন রয়েছে যা প্রকল্প সম্পর্কে তথ্য প্রতিফলিত করে। ডেটা দুর্নীতির বিরুদ্ধে অখণ্ডতা এবং সুরক্ষা নিশ্চিত করতে, একটি মার্কেল ট্রি কাঠামো ব্যবহার করা হয় যেখানে প্রতিটি শাখা যৌথ হ্যাশ (গাছ) এর মাধ্যমে সমস্ত অন্তর্নিহিত শাখা এবং নোডগুলি যাচাই করে। একটি চূড়ান্ত হ্যাশ থাকার মাধ্যমে, ব্যবহারকারী পুরো অপারেশন ইতিহাসের সঠিকতা যাচাই করতে পারে, সেইসাথে ডাটাবেসের অতীত অবস্থার সঠিকতা যাচাই করতে পারে (ডাটাবেসের নতুন অবস্থার রুট চেক হ্যাশ অতীতের অবস্থা বিবেচনা করে গণনা করা হয়)। নতুন রেকর্ড চেক এবং যোগ করার জন্য একটি RESTful API প্রদান করা হয়েছে, সেইসাথে একটি কমান্ড লাইন ইন্টারফেস।

উপাদান ফুলসিয়াস (সিগস্টোর ওয়েবপিকেআই) সার্টিফিকেশন কর্তৃপক্ষ তৈরির জন্য একটি সিস্টেম অন্তর্ভুক্ত করে (root CA) যেটি OpenID Connect-এর মাধ্যমে প্রমাণীকৃত ইমেলের উপর ভিত্তি করে স্বল্পকালীন সার্টিফিকেট প্রদান করে। শংসাপত্রের জীবনকাল 20 মিনিট, এই সময়ে বিকাশকারীর একটি ডিজিটাল স্বাক্ষর তৈরি করার জন্য সময় থাকতে হবে (যদি শংসাপত্রটি ভবিষ্যতে কোনও আক্রমণকারীর হাতে পড়ে তবে এটি ইতিমধ্যেই মেয়াদ শেষ হয়ে যাবে)। এছাড়াও, প্রকল্পটি Cosign টুলকিট বিকাশ করে (কন্টেইনার সাইনিং), কন্টেইনারগুলির জন্য স্বাক্ষর তৈরি করতে, স্বাক্ষর যাচাই করতে এবং OCI (ওপেন কন্টেইনার ইনিশিয়েটিভ) অনুগত রিপোজিটরিতে স্বাক্ষরিত কন্টেইনারগুলি রাখার জন্য ডিজাইন করা হয়েছে।

এর ভূমিকা সিগস্টোর সফ্টওয়্যার বিতরণ চ্যানেলগুলির নিরাপত্তা বৃদ্ধি করতে দেয় এবং লাইব্রেরি এবং নির্ভরতা প্রতিস্থাপন (সাপ্লাই চেইন) লক্ষ্য করে আক্রমণ থেকে রক্ষা করুন। ওপেন সোর্স সফ্টওয়্যারের প্রধান নিরাপত্তা সমস্যাগুলির মধ্যে একটি হল প্রোগ্রামের উৎস যাচাই করা এবং বিল্ড প্রক্রিয়া যাচাই করার অসুবিধা।

সংস্করণ যাচাইকরণের জন্য ডিজিটাল স্বাক্ষরের ব্যবহার এখনও ব্যাপক নয় কী ব্যবস্থাপনায় অসুবিধার কারণে, সর্বজনীন কী বিতরণ, এবং আপস করা কীগুলি প্রত্যাহার করা হয়েছে। যাচাইকরণের অর্থ বোঝার জন্য, পাবলিক কী এবং চেকসাম বিতরণের জন্য একটি নির্ভরযোগ্য এবং সুরক্ষিত প্রক্রিয়া সংগঠিত করাও প্রয়োজন। এমনকি একটি ডিজিটাল স্বাক্ষর সহ, অনেক ব্যবহারকারী যাচাইকরণ উপেক্ষা করেন কারণ যাচাইকরণ প্রক্রিয়া শিখতে এবং কোন কীটি বিশ্বস্ত তা বুঝতে সময় লাগে।

ওপেনএসএসএফ (ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন) এবং পারডু ইউনিভার্সিটির অংশগ্রহণে গুগল, রেড হ্যাট, সিসকো, ভিএমওয়্যার, গিটহাব এবং এইচপি এন্টারপ্রাইজের অলাভজনক লিনাক্স ফাউন্ডেশনের পৃষ্ঠপোষকতায় প্রকল্পটি তৈরি করা হচ্ছে।

পরিশেষে, যদি আপনি এটি সম্পর্কে আরও জানতে সক্ষম হতে আগ্রহী হন, তাহলে আপনি বিস্তারিত বিবরণের সাথে পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।