सिगस्टोर, रेड हैट और गूगल की एक क्रिप्टोग्राफ़िक कोड सत्यापन सेवा

रेड हैट और गूगल ने पर्ड्यू विश्वविद्यालय के साथ मिलकर हाल ही में सिगस्टोर परियोजना की स्थापना की घोषणा की।, किसका इसका उद्देश्य डिजिटल हस्ताक्षरों के माध्यम से सॉफ़्टवेयर को सत्यापित करने के लिए उपकरण और सेवाएँ बनाना है और एक सार्वजनिक पारदर्शिता रिकॉर्ड बनाए रखें। यह परियोजना एक गैर-लाभकारी संगठन, लिनक्स फाउंडेशन के तत्वावधान में विकसित की जाएगी।

प्रस्तावित परियोजना सॉफ़्टवेयर वितरण चैनलों की सुरक्षा में सुधार करें और लक्षित हमलों से सुरक्षा प्रदान करें सॉफ़्टवेयर घटकों और निर्भरताओं (आपूर्ति श्रृंखला) को बदलने के लिए। ओपन सोर्स सॉफ़्टवेयर में प्रमुख सुरक्षा चिंताओं में से एक प्रोग्राम के स्रोत को सत्यापित करने और निर्माण प्रक्रिया को सत्यापित करने में कठिनाई है।

उदाहरण के किसी संस्करण की अखंडता को सत्यापित करने के लिए, अधिकांश प्रोजेक्ट हैश का उपयोग करते हैं, लेकिन अक्सर प्रमाणीकरण के लिए आवश्यक जानकारी असुरक्षित सिस्टम और साझा कोड रिपॉजिटरी पर संग्रहीत की जाती है, इस समझौते के परिणामस्वरूप कि हमलावर सत्यापन के लिए आवश्यक फ़ाइलों को प्रतिस्थापित कर सकते हैं और संदेह पैदा किए बिना, दुर्भावनापूर्ण परिवर्तन पेश कर सकते हैं।

कुंजी प्रबंधन की जटिलताओं के कारण केवल कुछ ही परियोजनाएँ रिलीज़ वितरित करने के लिए डिजिटल हस्ताक्षर का उपयोग करती हैं, सार्वजनिक कुंजियों का वितरण और समझौता की गई कुंजियों का निरसन। सत्यापन को सार्थक बनाने के लिए, सार्वजनिक कुंजी और चेकसम वितरित करने के लिए एक विश्वसनीय और सुरक्षित प्रक्रिया को व्यवस्थित करना भी आवश्यक है। डिजिटल हस्ताक्षर के साथ भी, कई उपयोगकर्ता सत्यापन को अनदेखा कर देते हैं, क्योंकि सत्यापन प्रक्रिया का अध्ययन करने और यह समझने में समय व्यतीत करना पड़ता है कि कौन सी कुंजी विश्वसनीय है।

सिगस्टोर के बारे में

सिगस्टोर को लेट्स एनक्रिप्ट के एनालॉग के रूप में प्रचारित किया गया है कोड के लिए, पीडिजिटल कोड हस्ताक्षर के लिए प्रमाणपत्र और सत्यापन को स्वचालित करने के लिए उपकरण प्रदान करना. सिगस्टोर के साथ, डेवलपर्स एप्लिकेशन-संबंधित कलाकृतियों जैसे रिलीज़ फ़ाइलें, कंटेनर छवियां, मैनिफ़ेस्ट और निष्पादन योग्य पर डिजिटल रूप से हस्ताक्षर कर सकते हैं। सिगस्टोर की एक विशेषता यह है कि हस्ताक्षर के लिए उपयोग की गई सामग्री परिवर्तनों से संरक्षित सार्वजनिक रिकॉर्ड में परिलक्षित होती है, जिसका उपयोग सत्यापन और ऑडिटिंग के लिए किया जा सकता है।

स्थिर कुंजियों के बजाय, सिगस्टोर अल्पकालिक क्षणिक कुंजियों का उपयोग करता है, जो ओपनआईडी कनेक्ट प्रदाताओं द्वारा पुष्टि किए गए क्रेडेंशियल्स के आधार पर उत्पन्न होते हैं (जिस समय डिजिटल हस्ताक्षर के लिए कुंजी उत्पन्न होती है, डेवलपर एक ईमेल लिंक के साथ ओपनआईडी प्रदाता के माध्यम से खुद की पहचान करता है)। कुंजियों की प्रामाणिकता को केंद्रीकृत सार्वजनिक रजिस्ट्री के विरुद्ध जांचा जाता है, जिससे आप यह सुनिश्चित कर सकते हैं कि हस्ताक्षर का लेखक वही है जो वे कहते हैं, और हस्ताक्षर उसी पार्टी द्वारा बनाया गया था जो पिछले संस्करणों के लिए जिम्मेदार था।

सिगस्टोर उपयोग के लिए तैयार सेवा और उपकरणों का एक सेट प्रदान करता है जो आपको अपने कंप्यूटर पर समान सेवाओं को लागू करने की अनुमति देता है। यह सेवा सभी सॉफ़्टवेयर डेवलपर्स और विक्रेताओं के लिए मुफ़्त है, और इसे एक तटस्थ प्लेटफ़ॉर्म: लिनक्स फ़ाउंडेशन पर कार्यान्वित किया जाता है। सेवा के सभी घटक खुले स्रोत हैं, गो भाषा में लिखे गए हैं, और अपाचे 2.0 लाइसेंस के तहत वितरित किए गए हैं।

जिन घटकों को विकसित किया जा रहा है, उनमें से यह नोट किया जा सकता है:

रेकोर: डिजिटल रूप से हस्ताक्षरित मेटाडेटा संग्रहीत करने के लिए एक रजिस्ट्री का कार्यान्वयन जो परियोजनाओं के बारे में जानकारी दर्शाता है। डेटा विरूपण के खिलाफ अखंडता और सुरक्षा सुनिश्चित करने के लिए, "ट्री मर्कल" ट्री संरचना का उपयोग पूर्वव्यापी रूप से किया जाता है, जहां प्रत्येक शाखा हैश फ़ंक्शन के लिए सभी अंतर्निहित थ्रेड्स और घटकों की जांच करती है।
फुलसियो (सिगस्टोर वेबपीकेआई) प्रमाणन प्राधिकरणों के निर्माण के लिए एक प्रणाली (रूट-सीए) जो ओपनआईडी कनेक्ट के माध्यम से प्रमाणित ईमेल के आधार पर अल्पकालिक प्रमाणपत्र जारी करता है। प्रमाणपत्र का जीवनकाल 20 मिनट है, जिसके दौरान डेवलपर के पास डिजिटल हस्ताक्षर उत्पन्न करने के लिए समय होना चाहिए (यदि भविष्य में प्रमाणपत्र किसी हमलावर के हाथ में पड़ जाता है, तो यह पहले ही समाप्त हो जाएगा)।
Сosign (कंटेनर साइनिंग) कंटेनरों पर हस्ताक्षर उत्पन्न करने के लिए उपकरणों का एक सेट, हस्ताक्षर सत्यापित करें, और हस्ताक्षरित कंटेनरों को OCI (ओपन कंटेनर इनिशिएटिव) अनुरूप रिपॉजिटरी में रखें।

अंत में, यदि आप इस परियोजना के बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

टिप्पणी *

नाम*

इलेक्ट्रॉनिक मेल*

मैं स्वीकारता हूँ गोपनीयता की शर्तें*

डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
वैधता: आपकी सहमति
डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

मैं समाचार पत्र प्राप्त करना चाहता हूं

LinuxAdictos

सिगस्टोर, Red Hat और Google की एक क्रिप्टोग्राफ़िक कोड सत्यापन सेवा है

सिगस्टोर के बारे में

अपनी टिप्पणी दर्ज करें

सिगस्टोर के बारे में

अपनी टिप्पणी दर्ज करें उत्तर को रद्द करें

अपनी टिप्पणी दर्ज करें