[Gelistirici] depo indekslerinin imzalanmasi

[Faik Uygur]

05 Şub 2007 Pts 12:33 tarihinde, Gürer Özen şunları yazmıştı: 
> 04 Şub 2007 Paz 19:08 tarihinde, Faik Uygur şunları yazmıştı:
> > Ama işin içine bürokrasisi girecek, onu hiç istemiyorum.
>
> Sertifika ekstra bir bürokrasi getirmiyor. CA ile anahtarımızı
> kaybetmediğimiz, yada senede bir defa yenileyelim demediğimiz sürede işimiz
> olmayacak.

Daha önceki e-postamda CA istemiyosun madem, bu ne peki, diye iyice kafa 
karıştırmayayım diye yazmadım. Ama Erkan bey o noktayı yakalamış.
Kurumlar açısından düşündüğümüzde CA alt yapısı ve sertifika gerekli, 
doğru. 

> Şu maile bir bak:
>
> http://lists.debian.org/debian-devel/2004/06/msg01501.html
>
> Adamların CA dan uzak durmak istemelerinin sebebi "dünya çapında official"
> CA ların bürokrasi olmadan kontrolsüz biçimde sertifika dağıtması.

Bu sebep bence de mantıklı. Kendi işlerini görecek bir yapı kurmuşlar. Gayette 
güzel işliyor. Buna göre de ben derim ki, bu adam için KSM hiç bir şey ifade 
etmiyor işte. Ama geliştiricilerin imzaladığı bir anahtar daha çok şey ifade 
ediyor. Saçmalıyorsun diyebilirsin.

Ben _özgür yazılım_ olarak gidip de bir CA ile iş yapacağıma, geliştiricilerin 
kendi başlarına işlerini görebilecekleri bir yapı ile işimi görmeyi, bu basit 
ve de etkili yapıyı kullanmayı tercih ederim. Yani dediğim gibi John için 
Matt için bu belki KSM'den daha değerlidir. Ama öte yandan da kurumsal 
firmaların özel yazılım depoları için CA istemelerini anlarım.

Senin de daha önce dediğin gibi alt yapı kurup ona göre devam edeceksek, 
doğru kararları verip devam etmemiz gerekiyor.

> KSM bu açıdan daha güvenilir bir yer. Ayrıca alacağımız anahtarların gizli
> çiftinin smartcard ile gelip, asla bilgisayarlara geçmeyecek olması gibi
> avantajlar var.

Smartcard işi bence de güzel bir artı.

> > Ayrıca pratiktei 
> > yapının nasıl işleyeceği tam açık değil. Sertifika nerede olacak, KSM nin
> > açık anahtarı, bizim açık anahtar onların nete açık sunucularında bir
> > yerde mi olacak.
>
> Şurada herşey anlatılıyor:
> http://www.kamusm.gov.tr/BilgiDeposu/index.jsp

Burayı gördüm. Ama pratikte kullanımından kastım biraz da buydu. .crt nedir? 
ne formatıdır bu mesela, bir fikrim yok açıkçası.  Hep açık gpg çıktıları 
gördüğümüz için bu biraz yabancı geldi. Konqueror açıp gösteriyor. Biraz 
araştırmak gerekiyor. gpg ile bunu nasıl kullanırım diye. Depo adresi, adı 
yanında bir de sertifikasının adresini vereceğiz o zaman. İşin bu pratik 
kısmı elbette de, en azından bir resim oluşması için gerekli tabi.

> Bir de hemen tasarıma geçmişiz ama daha paket imzalama için bir gerekler
> belgemiz yok. Önce bunu çıkartalım bence.

Dediğin gibi gerekler belgesi olsa bence de iyi olur. Ne istiyoruz az çok 
ortada sonuçta. Pınar imza işine talip olduğunu söylemişti. Bu belge işini de 
kendisinden rica edelim. Belge üzerinden de tasarımını daha rahat 
yapabiliriz.

- Faik