[Gelistirici] depo indekslerinin imzalanmasi

Faik Uygur faik at pardus.org.tr
4 Şub 2007 Paz 19:08:56 EET 

30 Oca 2007 Sal 23:59 tarihinde, A. Murat Eren şunları yazmıştı: 
>  Merhabalar,

Merhaba,

Biraz geç kaldım cevapta kusura bakma.

>  Sertifika otoritesi (CA) olarak KSM var kapı gibi, her sistem KSM'nin
> anahtarı ile dağılsın zaten. Biz de açık anahtarımızı KSM'ye imzalatırız,
> kontrol ona göre yapılır. 

Bu dediklerin güzel tabi. Tamam bir CA var ortada, birlikte çalışabileceğimiz.
Gerçi dünya çapında official CA mi şu an KSM, onu da bilmiyorum??
İlk olarak bir özgür yazılım projesinin gidip de parayla sertifika almak 
zorunda kalması garip geliyor bana. Diğer dağıtımlar buna güzel bir çare 
bulmuşlar. [1]

Parasını da geçelim. Parasında değilim, benim cebimden çıkacak değil sonuçta.  
Ama işin içine bürokrasisi girecek, onu hiç istemiyorum. Bir açık anahtar 
istedik 4 günde anca ulaştı. 2007 CD sine giremedi. Ayrıca pratikte yapının 
nasıl işleyeceği tam açık değil. Sertifika nerede olacak, KSM nin açık 
anahtarı, bizim açık anahtar onların nete açık sunucularında bir yerde 
mi olacak. Bunları konuşması, ayarlaması. Gerektiğinde bazı değişiklikler 
istemek gerekecek. Bu bağımlılığı gerçekten istiyor muyuz?

Sertifika ve KSM ile işleri karıştırıyoruz ve kompleks bir hale getiriyoruz 
gibi geliyor bana. Mailda bahsettiğim şekilde şu an benim kafamda açık bir 
nokta kalmıyor. Ama KSM dedin mi, sertifika dedin mi, pratikte bu işi nasıl 
yapacağımızı bilemiyorum.

> Fakat açık anahtarın ortada durmasının bir 
> güvnelik problemi yaratması gibi bir durum olmamalı. Eğer bu bir sorun
> yaratır gibi görünüyorsa tasarımımızda yanlış bir şeyler var diyebiliriz
> rahat rahat :)

Burada güvenlik probleminden kasıt. Sunucularımızda bulunan açık anahtarın
hakikaten bizim ürettiğimiz açık anahtar olup olmadığı idi. Sunucuda bir 
şekilde açık anahtar değiştirilir ve paketlerde değiştirilen bu açık anahtara 
göre imzalanıp konursa filan gibi extreme bir senaryo için. [1]

> > Bir paket ile gelmesi de doğru olabilir tabi. Ama depo'ya ait bir bilgi
> > olduğu için pisi-index.xml içerisinde de olabilir diye düşünüyorum. Asıl
> > public key bir keyserver'da durur. pisi-index.xml içerisinde keyid'si
> > olabilir. Public key'in bize ait olduğunu ispatlamak için de bir yerden
> > sertifika indirtir. Konsol kullanıcısına bunu da gösteririz, kabul
> > ettirip açık anahtarı ekletiriz. Paket Yöneticisinde de aynı şekilde.
>
>  En iyi çözümü söylemişsin bence, depo anahtarının depo index'i içerisinde
> durması en mantıklısı gibi görünüyor. Yeni bir depo eklendiğinde anahtar
> bir sertifika otoritesi tarafından imzalanmış mı diye kontrol edilir, 

Bu iş nasıl olur bilemiyorum? Gerçekten. Pratikte imzalayan bir CA mi, nasıl 
anlaşılır? Cahilce olacak ama KSM şu an dünyada official bir CA midir? Bunun 
yerine yine [1] diyorum.

> Sertifika otoritesinin anahtarı da ISO'lar ile dağılır. ISO'ların güvenliği 
de bizim sunucularımızdaki sha1sum dosyaları ile kontrol edilir. 

Şu an makinelerine kurulu insanları da bir şekilde düşünmemiz gerekiyor.

> İnsanların DNS atağı mağduru olmalarını da 
> kapsayacak bir çözüm düşünmek zaten üzerimize vazife değil bence (sha1sum
> dosyasının güvenilirliği ile ilgili böyle bir risk var sonuçta).

+1

>  Selamlar.

Selamlar,
- Faik

[1] http://liste.pardus.org.tr/gelistirici/2007-January/004725.html

Gelistirici mesaj listesiyle ilgili daha fazla bilgi