[Gelistirici] depo indekslerinin imzalanmasi
Faik Uygur
faik at pardus.org.tr
5 Şub 2007 Pzt 14:41:45 EET
05 Şub 2007 Pts 12:33 tarihinde, Gürer Özen şunları yazmıştı:
> 04 Şub 2007 Paz 19:08 tarihinde, Faik Uygur şunları yazmıştı:
> > Ama işin içine bürokrasisi girecek, onu hiç istemiyorum.
>
> Sertifika ekstra bir bürokrasi getirmiyor. CA ile anahtarımızı
> kaybetmediğimiz, yada senede bir defa yenileyelim demediğimiz sürede işimiz
> olmayacak.
Daha önceki e-postamda CA istemiyosun madem, bu ne peki, diye iyice kafa
karıştırmayayım diye yazmadım. Ama Erkan bey o noktayı yakalamış.
Kurumlar açısından düşündüğümüzde CA alt yapısı ve sertifika gerekli,
doğru.
> Şu maile bir bak:
>
> http://lists.debian.org/debian-devel/2004/06/msg01501.html
>
> Adamların CA dan uzak durmak istemelerinin sebebi "dünya çapında official"
> CA ların bürokrasi olmadan kontrolsüz biçimde sertifika dağıtması.
Bu sebep bence de mantıklı. Kendi işlerini görecek bir yapı kurmuşlar. Gayette
güzel işliyor. Buna göre de ben derim ki, bu adam için KSM hiç bir şey ifade
etmiyor işte. Ama geliştiricilerin imzaladığı bir anahtar daha çok şey ifade
ediyor. Saçmalıyorsun diyebilirsin.
Ben _özgür yazılım_ olarak gidip de bir CA ile iş yapacağıma, geliştiricilerin
kendi başlarına işlerini görebilecekleri bir yapı ile işimi görmeyi, bu basit
ve de etkili yapıyı kullanmayı tercih ederim. Yani dediğim gibi John için
Matt için bu belki KSM'den daha değerlidir. Ama öte yandan da kurumsal
firmaların özel yazılım depoları için CA istemelerini anlarım.
Senin de daha önce dediğin gibi alt yapı kurup ona göre devam edeceksek,
doğru kararları verip devam etmemiz gerekiyor.
> KSM bu açıdan daha güvenilir bir yer. Ayrıca alacağımız anahtarların gizli
> çiftinin smartcard ile gelip, asla bilgisayarlara geçmeyecek olması gibi
> avantajlar var.
Smartcard işi bence de güzel bir artı.
> > Ayrıca pratiktei
> > yapının nasıl işleyeceği tam açık değil. Sertifika nerede olacak, KSM nin
> > açık anahtarı, bizim açık anahtar onların nete açık sunucularında bir
> > yerde mi olacak.
>
> Şurada herşey anlatılıyor:
> http://www.kamusm.gov.tr/BilgiDeposu/index.jsp
Burayı gördüm. Ama pratikte kullanımından kastım biraz da buydu. .crt nedir?
ne formatıdır bu mesela, bir fikrim yok açıkçası. Hep açık gpg çıktıları
gördüğümüz için bu biraz yabancı geldi. Konqueror açıp gösteriyor. Biraz
araştırmak gerekiyor. gpg ile bunu nasıl kullanırım diye. Depo adresi, adı
yanında bir de sertifikasının adresini vereceğiz o zaman. İşin bu pratik
kısmı elbette de, en azından bir resim oluşması için gerekli tabi.
> Bir de hemen tasarıma geçmişiz ama daha paket imzalama için bir gerekler
> belgemiz yok. Önce bunu çıkartalım bence.
Dediğin gibi gerekler belgesi olsa bence de iyi olur. Ne istiyoruz az çok
ortada sonuçta. Pınar imza işine talip olduğunu söylemişti. Bu belge işini de
kendisinden rica edelim. Belge üzerinden de tasarımını daha rahat
yapabiliriz.
- Faik
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi