[Gelistirici] depo indekslerinin imzalanmasi
Erkan Tekman
tekman at pardus.org.tr
4 Şub 2007 Paz 20:16:26 EET
04 Şub 2007 Paz 19:08 tarihinde, Faik Uygur şunları yazmıştı:
> 30 Oca 2007 Sal 23:59 tarihinde, A. Murat Eren şunları yazmıştı:
> > Merhabalar,
>
> Merhaba,
>
> Biraz geç kaldım cevapta kusura bakma.
>
> > Sertifika otoritesi (CA) olarak KSM var kapı gibi, her sistem KSM'nin
> > anahtarı ile dağılsın zaten. Biz de açık anahtarımızı KSM'ye imzalatırız,
> > kontrol ona göre yapılır.
>
> Bu dediklerin güzel tabi. Tamam bir CA var ortada, birlikte
> çalışabileceğimiz. Gerçi dünya çapında official CA mi şu an KSM, onu da
> bilmiyorum??
> İlk olarak bir özgür yazılım projesinin gidip de parayla sertifika almak
> zorunda kalması garip geliyor bana. Diğer dağıtımlar buna güzel bir çare
> bulmuşlar. [1]
Debian çözümü ile CA çözümünün karşılaştırılması bilindik gpg çözümü ile yasal
e-imza karşılaştırması gibi birşey. Geliştiriciler, hacker'lar, LKD üyeleri
için Debian çözümü ya da gpg "yeterince iyi" bir çözüm, ama kurumsal bir
müşteri için kesinlikle düşünülemezler. Bu nedenle CA çözümü ve yasal e-imza
gerekecektir. İkinci set çözüm ise hacker için gereksiz bürokrasi, olası Big
Brother ve bir anlamda "eski köye yeni adet". Fakat temel soru şu: İkinci set
çözüm işlevsellik açısından eksik mi? Bence hayır...
Bu nedenle tasarımı CA'ye göre yapalım, isteyen kendi deposunun sertifikasını
self-signed yapar ya da kendisi imzalar. Ya da imza partisi düzenleyerek
arkadaşlarına imzalatır... Tasarım bunu destekler. Öte yandan bir kurum
mevcut CA'inden bir sertifika seti oluşturup bunlarla paketleri imzalamak
isterse bunu da destekler.
> Bu iş nasıl olur bilemiyorum? Gerçekten. Pratikte imzalayan bir CA mi,
> nasıl anlaşılır? Cahilce olacak ama KSM şu an dünyada official bir CA
> midir? Bunun yerine yine [1] diyorum.
"Dünyada official CA" diye bir şey yok. Buna karşın KamuSM anahtarlarını belli
bir güvenlik politikasına göre saklayan ve işleyişini belli bir bilgi
güvenliği yönetim sistemine göre yürüttüğünü belgeleyen (eski BS 7799,
şimdiki ISO 27001 yanılmıyorsam) bir kuruluş. Buranın açık anahtarının özet
değerleri gazetelerde ilan ediliyor, yani tam paranoyak için herhangi bir
şekilde bilişim içermeyen bir geçerlilik kontrol yolu dahi mevcut. KamuSM'nin
işin içine dahil edilmesi Pardus'un bilgi güvenliği gereksinimini bir seviye
aşağıya indirecektir, artık kök sertifikası işi outsource edilmiş olacaktır.
Yarın öbürgün sıkı bir kurum (banka ya da istihbarat mesela) ile
konuşurken "biz arada sırada imzalama partileri yapıyoruz, açık anahtarımızı
orada herkes imzalıyor" deyip müstehzi gülümsemelerle karşılaşmak gerekli
değil. Çaresi var bence...
ET
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi