[Gelistirici] depo indekslerinin imzalanmasi

[Pınar Yanardağ]

Selamlar,

A. Murat Eren wrote On 29-01-2007 00:26:
>  Merhabalar,
>
> On Saturday 27 January 2007 18:54, Pınar Yanardağ wrote:
>   
>> Depo indekslerinin kontrolü için kullanacağımız public anahtarı nerede
>> tutmalıyız? Bunun için aklıma gelen alternatifler şöyle:
>>
>> 1. ben public anahtarı depodaki diğer dosyalarla aynı dizinde başka bir
>> dosyada tutmayı düşünüyorum. indeksi kontrol ederken [bkz: #2] direkt bu
>> dosyayı arar, anahtarı gpg'nin havuzuna ekleriz [kontrol işini gpg
>> halledecek çünkü].
>>
>> (burda güvenlik sorunu ön plana çıkıyor tabii. 
>>     
>
>  Public key için nasıl bir güvenlik sorunu çıkabilir?
>
>   

Konuyu Faik Bey'le konusurken boyle bir ihtimal geldi aklimiza. Aslinda 
bir guvenlik sorunu olarak nitelemekte yanilmis olabilirim. Guvenlikten 
kastim, birisi oradaki public anahtari degistirip paketler uzerinde 
dogrulama saglayarak sisteme zarar verebilir seklindeydi. Tabii bunun 
icin depoyu zaten ele gecirip paketleri de degistirmesi gerek.. Yani 
sunucunun guvenlik riskine giriyor bu daha cok. Ama bunu dusunerek bir 
guvenlik sorununu kastetmistim.

>> ancak bir şekilde bu 
>> anahtarı sunucuda bir yerde tutmak gerekiyor. o yüzden güvenlik riski
>> anahtar depo dizininde tutulsa da tutulmasa da aynı diye düşünüyorum.)
>>
>> 2. ya da public anahtarı index dosyasına örneğin imza diye bir tag'ın
>> içine yerleştiririz. imza kontrolü sırasında public anahtarı direkt bu
>> tag'dan alır ve gpg'ye ekleriz.
>>
>> 3. ya da anahtarı bir keyserver'da tutarız, indeks dosyasında bir tag
>> içinde de keyid'yi tutarız. buradan anahtara ulaşıp gpg'ye ekleriz.
>>
>> 4. ya da başka bir öneri/çözüm..?
>>     
>
>  Neden bir kurulum/güncelleme esnasında uygun bir paket ile kullanıcının 
> sistemine ulaşmıyor bu anahtar?
>
>
>   

Bu da olabilir tabii.

--

İyi çalışmalar,

Pınar Yanardağ
http://PINguAR.org

>  Selamlar.
>