[Gelistirici] depo indekslerinin imzalanmasi
Faik Uygur
faik at pardus.org.tr
4 Şub 2007 Paz 19:08:56 EET
30 Oca 2007 Sal 23:59 tarihinde, A. Murat Eren şunları yazmıştı:
> Merhabalar,
Merhaba,
Biraz geç kaldım cevapta kusura bakma.
> Sertifika otoritesi (CA) olarak KSM var kapı gibi, her sistem KSM'nin
> anahtarı ile dağılsın zaten. Biz de açık anahtarımızı KSM'ye imzalatırız,
> kontrol ona göre yapılır.
Bu dediklerin güzel tabi. Tamam bir CA var ortada, birlikte çalışabileceğimiz.
Gerçi dünya çapında official CA mi şu an KSM, onu da bilmiyorum??
İlk olarak bir özgür yazılım projesinin gidip de parayla sertifika almak
zorunda kalması garip geliyor bana. Diğer dağıtımlar buna güzel bir çare
bulmuşlar. [1]
Parasını da geçelim. Parasında değilim, benim cebimden çıkacak değil sonuçta.
Ama işin içine bürokrasisi girecek, onu hiç istemiyorum. Bir açık anahtar
istedik 4 günde anca ulaştı. 2007 CD sine giremedi. Ayrıca pratikte yapının
nasıl işleyeceği tam açık değil. Sertifika nerede olacak, KSM nin açık
anahtarı, bizim açık anahtar onların nete açık sunucularında bir yerde
mi olacak. Bunları konuşması, ayarlaması. Gerektiğinde bazı değişiklikler
istemek gerekecek. Bu bağımlılığı gerçekten istiyor muyuz?
Sertifika ve KSM ile işleri karıştırıyoruz ve kompleks bir hale getiriyoruz
gibi geliyor bana. Mailda bahsettiğim şekilde şu an benim kafamda açık bir
nokta kalmıyor. Ama KSM dedin mi, sertifika dedin mi, pratikte bu işi nasıl
yapacağımızı bilemiyorum.
> Fakat açık anahtarın ortada durmasının bir
> güvnelik problemi yaratması gibi bir durum olmamalı. Eğer bu bir sorun
> yaratır gibi görünüyorsa tasarımımızda yanlış bir şeyler var diyebiliriz
> rahat rahat :)
Burada güvenlik probleminden kasıt. Sunucularımızda bulunan açık anahtarın
hakikaten bizim ürettiğimiz açık anahtar olup olmadığı idi. Sunucuda bir
şekilde açık anahtar değiştirilir ve paketlerde değiştirilen bu açık anahtara
göre imzalanıp konursa filan gibi extreme bir senaryo için. [1]
> > Bir paket ile gelmesi de doğru olabilir tabi. Ama depo'ya ait bir bilgi
> > olduğu için pisi-index.xml içerisinde de olabilir diye düşünüyorum. Asıl
> > public key bir keyserver'da durur. pisi-index.xml içerisinde keyid'si
> > olabilir. Public key'in bize ait olduğunu ispatlamak için de bir yerden
> > sertifika indirtir. Konsol kullanıcısına bunu da gösteririz, kabul
> > ettirip açık anahtarı ekletiriz. Paket Yöneticisinde de aynı şekilde.
>
> En iyi çözümü söylemişsin bence, depo anahtarının depo index'i içerisinde
> durması en mantıklısı gibi görünüyor. Yeni bir depo eklendiğinde anahtar
> bir sertifika otoritesi tarafından imzalanmış mı diye kontrol edilir,
Bu iş nasıl olur bilemiyorum? Gerçekten. Pratikte imzalayan bir CA mi, nasıl
anlaşılır? Cahilce olacak ama KSM şu an dünyada official bir CA midir? Bunun
yerine yine [1] diyorum.
> Sertifika otoritesinin anahtarı da ISO'lar ile dağılır. ISO'ların güvenliği
de bizim sunucularımızdaki sha1sum dosyaları ile kontrol edilir.
Şu an makinelerine kurulu insanları da bir şekilde düşünmemiz gerekiyor.
> İnsanların DNS atağı mağduru olmalarını da
> kapsayacak bir çözüm düşünmek zaten üzerimize vazife değil bence (sha1sum
> dosyasının güvenilirliği ile ilgili böyle bir risk var sonuçta).
+1
> Selamlar.
Selamlar,
- Faik
[1] http://liste.pardus.org.tr/gelistirici/2007-January/004725.html
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi