[Gelistirici] depo indekslerinin imzalanmasi

[Pınar Yanardağ]

Selamlar,

Bir süredir paket depoların indekslerinin imzalanması işine bakıyorum. 
Depoların imzalanması işiyle ilgili bir kaç noktada aklıma gelen bazı 
fikirler oldu, ama hayata geçirmeden önce listeye danışayım dedim.


#1

Depo indekslerinin kontrolü için kullanacağımız public anahtarı nerede 
tutmalıyız? Bunun için aklıma gelen alternatifler şöyle:

1. ben public anahtarı depodaki diğer dosyalarla aynı dizinde başka bir 
dosyada tutmayı düşünüyorum. indeksi kontrol ederken [bkz: #2] direkt bu 
dosyayı arar, anahtarı gpg'nin havuzuna ekleriz [kontrol işini gpg 
halledecek çünkü].

(burda güvenlik sorunu ön plana çıkıyor tabii. ancak bir şekilde bu 
anahtarı sunucuda bir yerde tutmak gerekiyor. o yüzden güvenlik riski 
anahtar depo dizininde tutulsa da tutulmasa da aynı diye düşünüyorum.)

2. ya da public anahtarı index dosyasına örneğin imza diye bir tag'ın 
içine yerleştiririz. imza kontrolü sırasında public anahtarı direkt bu 
tag'dan alır ve gpg'ye ekleriz.

3. ya da anahtarı bir keyserver'da tutarız, indeks dosyasında bir tag 
içinde de keyid'yi tutarız. buradan anahtara ulaşıp gpg'ye ekleriz.

4. ya da başka bir öneri/çözüm..?

#2

Depo indekslerinin imza kontrolü ne zaman yapılmalı ?

1. benim düşüncem indekslerin imza kontrolünü, depo indeksleriyle ilgili 
komutlar çalışıtılırken bütünleşik olarak yapmak. bu komutlar,

- add-repo
- update-repo olarak sıralanıyor.

(belki list-repo komutunda da kontrol yapıp, her deponun yanına 
güvenilirlik bilgisini gösterebiliriz ?)

2. ya da bu komutlardan bağımsız olarak isteğe bağlı bir parametre ile 
depo indeksinin kontrolü yapılır

3. ya da yukarıdakilerin her ikisi de beraber olabilir.

4. alternatifler..?


İyi çalışmalar,

Pınar Yanardağ
http://PINguAR.org <http://PINguAR.org>