سكويا 1.0 ، مكتبة تطبق معايير OpenPGP

بعد ثلاث سنوات ونصف من التطوير تم نشره حزمة التحرير سيكويا 1.0، تطوير مكتبة من أدوات ووظائف سطر الأوامر مع تنفيذ معيار OpenPGP (RFC-4880).

إطلاق تلخيص العمل على المستوى المنخفض API، الذي يطبق تغطية معيار OpenPGP ، وهو كاف للاستخدام الكامل. رمز المشروع مكتوب بلغة Rust ويتم توزيعه بموجب ترخيص GPLv2 +.

تم تأسيس المشروع من قبل ثلاثة مساهمين في GnuPG من g10code ، مطور لمكونات GnuPG وتدقيق أنظمة التشفير. يُعرف فريق Sequoia أيضًا بإنشاء خادم مفاتيح Hagrid ، والذي تستخدمه خدمة keys.openpgp.org.

كان الهدف من المشروع الجديد هو إعادة تصميم البنية وتطبيق تقنيات جديدة لتحسين أمان وموثوقية قاعدة التعليمات البرمجية.

لتحسين الأمن ، لا تستخدم سيكويا أدوات البرمجة فقط تأكد من أنهم يستخدمون اللغة الصدأ ، ولكن أيضًا الحماية من الأخطاء على مستوى API.

على سبيل المثال لا تسمح لك واجهة برمجة التطبيقات (API) بتصدير مادة المفتاح السري بطريق الخطأنظرًا لأن عمليات التصدير تتطلب تحديدًا واضحًا بشكل افتراضي. علاوة على ذلك ، تضمن API عدم تفويت أي خطوات مهمة عند تحديث التوقيع الرقمي ؛ بشكل افتراضي ، يتم تحديث وقت إنشاء التوقيع وخوارزمية التجزئة والمصدر تلقائيًا.

السكوية شجرة أنت تحاول أيضًا التخلص من عيوب GnuPGمثل إلغاء تزامن وظائف أدوات سطر الأوامر مع مكتبة الوظائف (يمكن تنفيذ بعض الإجراءات فقط باستخدام الأداة المساعدة) والاقتران المحكم للغاية بين المكونات ، مما يجعل من الصعب إجراء التغييرات ، ويشوي قاعدة الكود ويمنع إنشاء نظام وحدة كاملة. - الاختبارات.

السكوية شجرة تطوير أداة سطر أوامر sql مع دعم أوامر فرعية بأسلوب Git، وبرنامج sqv (بديل لـ gpgv) للتحقق من التوقيعات المنفصلة ، والأداة المساعدة sqop (عديم الحالة OpenPGP CLI) ، ومكتبة Sequoia-openpgp.

توجد روابط للغات C و Python. تتوافق معظم الوظائف الموضحة في معيار OpenPGP مع التشفير وفك التشفير والإنشاء والتحقق من التوقيعات الرقمية.

من بين الميزات المتقدمة ، يُلاحظ أنه يدعم التحقق باستخدام التوقيعات الرقمية المقدمة بشكل منفصل (توقيع منفصل) ، والتكيف للتكامل مع مديري الحزم (APT ، RPM ، التحميل ، وما إلى ذلك) ، والقدرة على تقييد التوقيعات بقيم العتبة والوقت.

لتبسيط التطوير ، وتصحيح الأخطاء ، وتحليل الحوادث ، يتم توفير أدوات فحص الحزمة ، والتي تتكامل مع المحلل وتسمح لك بتحليل بنية الرسائل المشفرة والتوقيعات الرقمية والمفاتيح بصريًا.

لأسباب أمنية، يتم دعم استخدام خدمات التشفير ، مثل المعالجات المشتركة للحوسبة في الجيوب المعزولة. لمزيد من العزلة ، تتم ممارسة الفصل إلى عمليات منفصلة للخدمات التي تعمل مع المفاتيح العامة والخاصة (يتم تنظيم تفاعل العمليات باستخدام بروتوكول Cap'n Proto). على سبيل المثال ، يتم تطوير keystore في شكل عملية منفصلة.

هناك خياران لواجهة برمجة التطبيقات: مستوى منخفض وعالي المستوى. تستنسخ واجهة برمجة التطبيقات ذات المستوى المنخفض قدر الإمكان قدرات OpenPGP وبعض الامتدادات ذات الصلة ، مثل دعم ECC والتوثيق (التوقيع على التوقيع) وعناصر مسودة الإصدار المستقبلي من المعيار.

ويلاحظ أنه وفقًا للوظيفة المخطط لها ، وصلت سيكويا إلى الجاهزية للإصدار 1.0 قبل عام ، لكن قرر المطورون عدم التسرع وقضاء المزيد من الوقت للبحث عن الأخطاء وكتابة وثائق كاملة وعالية الجودة مع روابط لمعلومات في معيار OpenPGP وأمثلة للاستخدام.

الإصدار 1.0 حتى الآن يغطي فقط مربع Sequoia-openpgp وأداة التحقق من صحة التوقيع الرقمي sqv. لم يتم تثبيت CLI "sq" وواجهات برمجة التطبيقات عالية المستوى بعد ويتم الانتهاء منها.

تشمل القيود المزمع إزالتها في الإصدارات المستقبلية تنفيذ الخدمات لتخزين المفاتيح الخاصة والعامة ، ودعم التوقيعات الرقمية ذات النص الواضح ، والقدرة على استخدام التعبيرات العادية لتحديد التوقيعات الموثوقة.


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.