সংরক্ষণাগারগুলি স্বাক্ষর করা সম্ভব?

আমি একটি পাব / পিআরভি কী তৈরি করতে এবং একটি ফাইলের স্বাক্ষর তৈরি করতে এবং এটিতে বৈধতা দেওয়ার জন্য ওপেনসেল দিয়ে খেলি। আমি ক্রিপ্টোফেন (উইন্ডোজ গনুপগ ফ্রন্টএন্ড) দিয়ে খেললাম এবং কীਸਰভার + সহ স্বাক্ষরিত পাঠ্যের সাথে প্লে করেছি।

আমি তবে কখনও কোনও ফাইল সংরক্ষণাগারটিতে স্বাক্ষর করি নি। আমি যদি কোনও সংরক্ষণাগার প্রকাশ করতে চাই (7z, রাআর বা জিপ, এটি কিছু যায় আসে না) এবং আমি চাই যে আমার ব্যবহারকারী বা সফ্টওয়্যার পরীক্ষা করতে সক্ষম হবে যে সংরক্ষণাগারটি স্বাক্ষরিত হয়েছে কিনা আমি কীভাবে করব? সর্বজনীন কী অবশ্যই প্রকাশ্যে উপলব্ধ হওয়া দরকার। তবে সংরক্ষণাগারে স্বাক্ষর যুক্ত করা আমাকে হতাশ করে। কোনও সফ্টওয়্যার + সংরক্ষণাগার কি আমাকে সংকোচিত সংরক্ষণাগার ফাইলটিতে স্বাক্ষর করতে ও যাচাই করার অনুমতি দেয়?

একটি সাধারণ পদ্ধতি হ'ল কোনও ফাইলে একটি বিচ্ছিন্ন স্বাক্ষর তৈরি করা.sig (সাধারণত পিজিপি স্বাক্ষর ব্যবহার করে gpg -b- X.509 খুব অস্বাভাবিক) এবং উভয় ফাইলকে একই জায়গায় সরবরাহ করা। উদাহরণ স্বরূপ:

ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig

এটি যে কোনও ধরণের ফাইলের সাথে ব্যবহার করা যেতে পারে তবে ব্যবহারকারীকে স্বাক্ষর করে নিজেই যাচাই করতে হবে gpg --verify।

দুর্ভাগ্যক্রমে, বর্তমানে যারা ব্যবহার করছেন তাদের মধ্যে, কোনও সংরক্ষণাগার বিন্যাসের ^{(যা আমি জানি)} পিজিপি বা এক্স.509 ব্যবহার করে বিল্ট-ইন স্বাক্ষরগুলির পক্ষে সমর্থন নেই । (এটি সিএবি বাদ দিচ্ছে না, যা উইন্ডোজ অভ্যন্তরীণভাবে ব্যবহার করেছে তবে কার্যত অন্য কোথাও নেই এবং সাইন ইন করা জটিল)। উইনআরআর 4 মালিকানাধীন ফর্ম্যাটটি ব্যবহার করে একটি "সত্যতা যাচাইকরণ" রেকর্ড যুক্ত করতে সক্ষম হয়েছিল তবে এটি আপনার উইনআরআর লাইসেন্সটিকে স্বাক্ষর কী হিসাবে ব্যবহার করে যা বারবার ফাটল। (আপডেট: নিরাপত্তাহীনতার কারণে এই বৈশিষ্ট্যটি WinRAR 5 থেকে সরানো হয়েছে।)

উইন্ডোজে (এবং শীঘ্রই ম্যাক ওএস এক্স), এটি একটি "স্ব-উত্তোলন সংরক্ষণাগার" তৈরি করা সম্ভব - একটি ডিজিটালি স্বাক্ষরিত এক্সিকিউটেবল যা নিজের মধ্যে থেকে একটি সংরক্ষণাগার সংগ্রহ করে - উইন্ডোজের সফ্টওয়্যার ইনস্টলারগুলি উদাহরণস্বরূপ এইভাবে কাজ করে। যাইহোক, এসএফএক্সগুলি একটি একক অপারেটিং সিস্টেমে সীমাবদ্ধ তাই তারা কেবলমাত্র ডকুমেন্ট বা ছবি নয় প্রোগ্রামগুলি বিতরণের জন্য উপযুক্ত । (জাভা প্রোগ্রামগুলি স্বাক্ষরিত হতে পারে এবং ক্রস প্ল্যাটফর্ম হতে পারে, তবে কয়েকটি সিস্টেমে জাভা রানটাইম বাকি রয়েছে))

জাভা-জার-টুল দিয়ে তৈরি জার-সংরক্ষণাগারগুলি কার্যকরভাবে জিপ-আর্কাইভস এবং সেগুলিতে সাইন ইন করার জন্য একটি সরঞ্জাম, জারসাইনার রয়েছে।

এখানে কয়েকটি দরকারী লিঙ্ক রয়েছে:

• জারসিগনারের জন্য ওরাকলস অফিশিয়াল পৃষ্ঠা
• "স্বাক্ষরিত সংরক্ষণাগারটি কীভাবে যাচাই করবেন?" তাই প্রশ্ন
• জার ফাইলগুলিতে স্বাক্ষর করার জন্য একটি উইকি

এটি প্রথমে কিছুটা জটিল দেখায় ("কী, আমার কীজেটল দরকার? অন্য কি?") তবে এটি সহজ ফ্যাশনে সমাধানের পদক্ষেপগুলি অনুসরণ করা সহজ। এটা কাজ করে। তাহলে আপনি বিষয়টি আরও গভীরভাবে ডুবতে পারেন।

অবশ্যই, আপনি প্রতিবার স্বাক্ষরিত সফ্টওয়্যার ইনস্টল করার সময় আপনি একটি স্বাক্ষরিত সংরক্ষণাগারটি যাচাই করছেন। একটি তৈরি করতে আপনার একই প্যাকেজিং সরঞ্জাম বিকাশকারীদের ব্যবহার করা উচিত। কিছু ট্রেড অফ রয়েছে, ক্রস প্ল্যাটফর্মের সামঞ্জস্যের বিরুদ্ধে ব্যবহারের সহজতা। আমি ক্রস প্ল্যাটফর্ম স্বাক্ষরিত স্ব-উত্তোলন সংরক্ষণাগার তৈরির কোনও উপায় সম্পর্কে ভাবতে পারি না।

উইন্ডোজের জন্য, ie এক্সপ্রেস সরঞ্জামটির সাহায্যে একটি স্ব এক্সট্র্যাক্টিং সংরক্ষণাগার তৈরি করুন, তারপরে এখানে বর্ণিত হিসাবে সিগনটুল.এক্সে ব্যবহার করে স্বাক্ষর করুন । আপনার ব্যবহারকারীরা যখন ফাইলে ডাবল ক্লিক করেন, তাদের কাছে সংরক্ষণাগারটির প্রকাশক হিসাবে আপনাকে চিহ্নিত করার জন্য উইন্ডোগুলির কনফার্ম সংলাপ নিশ্চিত হবে।

আপনি এই দুটি কমান্ডের সাহায্যে জারসিগনার ব্যবহার করে ফাইলগুলিতে সাইন করতে পারেন:

keytool -genkeypair -alias <key-alias> -keyalg RSA -keystore <keystore> -validity 180

jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 -keystore <keystore> <file-to-sign> <key-alias>

আপনার পিসিতে আপনার জাভা জেডিকে ইনস্টল করতে হবে।

- প্রথম কমান্ডটি বর্তমান ডিরেক্টরিতে মূল স্টোর তৈরি করে (ধরে নিলে এটি ইতিমধ্যে বিদ্যমান নেই)। এটি অ্যালগোরিদম SHA-256 ব্যবহার করে একটি পাবলিক / প্রাইভেট কী জুড়ি উত্পন্ন করে।

-দ্বিতীয়টি একই অ্যালগরিদম, কীস্টোর এবং প্রথমটির দ্বারা উত্পন্ন উত্সটি ব্যবহার করে ফাইলটিতে স্বাক্ষর করে।

কোনও কী স্টোর ব্যবহার করে স্বাক্ষরিত কোনও ফাইল যাচাই করতে, আপনি এই আদেশটি চালাতে পারেন:

jarsigner -keystore <keystore> -verify -verbose -certs <file-signed>