[Gelistirici] depo indekslerinin imzalanmasi
Pınar Yanardağ
pinar at comu.edu.tr
28 Oca 2007 Paz 02:54:06 EET
Selamlar,
Bir süredir paket depoların indekslerinin imzalanması işine bakıyorum.
Depoların imzalanması işiyle ilgili bir kaç noktada aklıma gelen bazı
fikirler oldu, ama hayata geçirmeden önce listeye danışayım dedim.
#1
Depo indekslerinin kontrolü için kullanacağımız public anahtarı nerede
tutmalıyız? Bunun için aklıma gelen alternatifler şöyle:
1. ben public anahtarı depodaki diğer dosyalarla aynı dizinde başka bir
dosyada tutmayı düşünüyorum. indeksi kontrol ederken [bkz: #2] direkt bu
dosyayı arar, anahtarı gpg'nin havuzuna ekleriz [kontrol işini gpg
halledecek çünkü].
(burda güvenlik sorunu ön plana çıkıyor tabii. ancak bir şekilde bu
anahtarı sunucuda bir yerde tutmak gerekiyor. o yüzden güvenlik riski
anahtar depo dizininde tutulsa da tutulmasa da aynı diye düşünüyorum.)
2. ya da public anahtarı index dosyasına örneğin imza diye bir tag'ın
içine yerleştiririz. imza kontrolü sırasında public anahtarı direkt bu
tag'dan alır ve gpg'ye ekleriz.
3. ya da anahtarı bir keyserver'da tutarız, indeks dosyasında bir tag
içinde de keyid'yi tutarız. buradan anahtara ulaşıp gpg'ye ekleriz.
4. ya da başka bir öneri/çözüm..?
#2
Depo indekslerinin imza kontrolü ne zaman yapılmalı ?
1. benim düşüncem indekslerin imza kontrolünü, depo indeksleriyle ilgili
komutlar çalışıtılırken bütünleşik olarak yapmak. bu komutlar,
- add-repo
- update-repo olarak sıralanıyor.
(belki list-repo komutunda da kontrol yapıp, her deponun yanına
güvenilirlik bilgisini gösterebiliriz ?)
2. ya da bu komutlardan bağımsız olarak isteğe bağlı bir parametre ile
depo indeksinin kontrolü yapılır
3. ya da yukarıdakilerin her ikisi de beraber olabilir.
4. alternatifler..?
İyi çalışmalar,
Pınar Yanardağ
http://PINguAR.org <http://PINguAR.org>
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi