रेड हॅट आणि गूगल यांनी पर्ड्यू युनिव्हर्सिटीसमवेत सिगस्टोर प्रकल्प स्थापनेची नुकतीच घोषणा केली, कोणाचा डिजिटल स्वाक्षरीचा वापर करून सॉफ्टवेअर सत्यापित करण्यासाठी साधने आणि सेवा तयार करणे हे उद्दीष्ट आहे आणि सार्वजनिक पारदर्शकता नोंदणी राखण्यासाठी. हा प्रकल्प नफा न देणारी संस्था लिनक्स फाऊंडेशनच्या संयुक्त विद्यमाने विकसित केला जाईल.
प्रस्तावित प्रकल्प सॉफ्टवेअर वितरण वाहिन्यांची सुरक्षा वाढवा आणि लक्ष्यित हल्ल्यांपासून संरक्षण द्या सॉफ्टवेअर घटक आणि अवलंबन (पुरवठा साखळी) पुनर्स्थित करणे. ओपन सोर्स सॉफ्टवेअरमधील सुरक्षितता संबंधीची एक समस्या म्हणजे प्रोग्रामचा स्त्रोत सत्यापित करणे आणि बिल्ड प्रक्रिया सत्यापित करणे.
उदाहरणार्थ, आवृत्तीची अखंडता सत्यापित करण्यासाठी, बरेच प्रकल्प हॅश वापरतात, परंतु बर्याचदा प्रमाणीकरणासाठी आवश्यक माहिती असुरक्षित सिस्टममध्ये आणि सामायिक कोड रिपॉझिटरीजमध्ये संग्रहित केली जाते, ज्याच्या तडजोडीच्या परिणामी हल्लेखोर सत्यापन करण्यासाठी आवश्यक असलेल्या फायली पुनर्स्थित करु शकतात आणि संशयाला उत्तेजन न देता, दुर्भावनायुक्त बदलांचा परिचय देऊ शकतात.
काही प्रमुख प्रकल्प की व्यवस्थापनाच्या जटिलतेमुळे प्रकाशन वितरीत करण्यासाठी डिजिटल स्वाक्षर्या वापरतात, पब्लिक कीचे वितरण आणि तडजोड की पुन्हा रद्द करणे. सत्यापनासाठी अर्थ प्राप्त करण्यासाठी, आपल्याला सार्वजनिक की आणि चेकसम वितरणासाठी एक विश्वसनीय आणि सुरक्षित प्रक्रिया आयोजित करण्याची देखील आवश्यकता आहे. जरी डिजिटल स्वाक्षरीसह, बरेच वापरकर्ते सत्यापनाकडे दुर्लक्ष करतात कारण सत्यापन प्रक्रियेचा अभ्यास करण्यास वेळ लागतो आणि कोणत्या कीवर विश्वास आहे ते समजते.
सिगस्टोर बद्दल
सिगस्टोरला लेट्स एन्क्रिप्ट एनालॉग म्हणून बढती दिली आहे कोडसाठी, पीडिजिटल कोड साइनिंगसाठी प्रमाणपत्रे आणि स्वयंचलित पडताळणीची साधने प्रदान करीत आहेत. सिगस्टोअर सह, विकसक लाँच फायली, कंटेनर प्रतिमा, मॅनिफेस्ट्स आणि एक्झिक्युटेबल यासारख्या अनुप्रयोग-संबंधित कलाकृतींवर डिजिटलपणे स्वाक्षरी करू शकतात. सिगस्टोरचे वैशिष्ट्य म्हणजे स्वाक्षरीसाठी वापरली जाणारी सामग्री बदलांपासून संरक्षित केलेल्या सार्वजनिक रेकॉर्डमध्ये प्रतिबिंबित होते, ज्याचा वापर सत्यापन आणि ऑडिटिंगसाठी केला जाऊ शकतो.
सतत कळाऐवजी, सिगस्टोर अल्पायुषीय इफिमेरल की वापरते, ते ओपनआयडी कनेक्ट प्रदात्यांद्वारे पुष्टी केलेल्या क्रेडेंशियल्सच्या आधारावर व्युत्पन्न केले जातात (त्या वेळी डिजिटल स्वाक्षरीसाठी की तयार केल्या जातात तेव्हा विकासकास ईमेल दुव्यासह ओपनआयडी प्रदात्याद्वारे ओळखले जाते). कळाची सत्यता केंद्रीयकृत सार्वजनिक रेकॉर्डच्या विरूद्ध तपासली जाते, स्वाक्षरीचा लेखक ज्याचा तो दावा करतो तो नक्की आहे याची खात्री करुन घेण्यास आणि मागील आवृत्त्यांसाठी जबाबदार असणार्या सहभागीने स्वाक्षरीची स्थापना केली होती याची खात्री करुन देते.
सिगस्टोर वापरण्यास तयार सेवा आणि साधनांचा एक संचा प्रदान करतो जो आपल्याला आपल्या संगणकावर तत्सम सेवा अंमलात आणण्याची परवानगी देतो. ही सेवा सर्व सॉफ्टवेअर विकसक आणि विक्रेत्यांसाठी विनामूल्य आहे आणि ती तटस्थ प्लॅटफॉर्मवर लागू केली आहेः लिनक्स फाउंडेशन. सेवेचे सर्व घटक ओपन सोर्स आहेत, गो भाषेत लिहिलेले आहेत आणि ते अपाचे २.० परवान्याअंतर्गत वितरीत केले गेले आहेत.
विकसित होणार्या घटकांपैकी हे लक्षात घेतले जाऊ शकते:
- रेकर: डिजिटल स्वाक्षरीकृत मेटाडेटा संचयित करण्यासाठी रेजिस्ट्रीची अंमलबजावणी जे प्रकल्पांविषयी माहिती प्रतिबिंबित करतात. डेटा विकृतीच्या विरूद्ध अखंडता आणि संरक्षणाची हमी देण्यासाठी, "ट्री मर्केल" ट्री स्ट्रक्चर पूर्वप्रक्रियाने वापरली जाते, जिथे प्रत्येक शाखेत सर्व थ्रेड्स आणि अंतर्निहित घटकांची तपासणी केली जाते, हॅश फंक्शनचे आभार.
- फुलसिओ (सिगस्टोर वेबपीकेआय) प्रमाणपत्र प्राधिकरण तयार करण्यासाठी एक प्रणाली (रूट-सीए) ओपनआयडी कनेक्टद्वारे प्रमाणीकृत ईमेलवर आधारित अल्पकालीन प्रमाणपत्रे जारी करतात. प्रमाणपत्राचे कार्यकाळ 20 मिनिटे असते, त्या काळात विकासकास डिजिटल स्वाक्षरी व्युत्पन्न करण्यासाठी वेळ असणे आवश्यक आहे (भविष्यात प्रमाणपत्र आक्रमणकर्त्याच्या हातात पडल्यास ते कालबाह्य होईल).
- कंटेनरमध्ये स्वाक्षरी व्युत्पन्न करण्यासाठी (साइन इन कंटेनर साइनिंग) साधनांचा एक संच, स्वाक्षर्या सत्यापित करा आणि स्वाक्षरी केलेले कंटेनर ओसीआय (ओपन कंटेनर पुढाकार) अनुपालन भांडारांमध्ये ठेवा.
शेवटी, आपल्याला या प्रकल्पाबद्दल अधिक जाणून घेण्यास स्वारस्य असल्यास आपण तपशीलांचा सल्ला घेऊ शकता पुढील लिंकवर