[Gelistirici] depo indekslerinin imzalanmasi
Faik Uygur
faik at pardus.org.tr
29 Oca 2007 Pzt 11:21:47 EET
29 Oca 2007 Pts 00:26 tarihinde, A. Murat Eren şunları yazmıştı:
> Merhabalar,
Merhaba,
[...]
> Public key için nasıl bir güvenlik sorunu çıkabilir?
Public key'in bize ait olduğunu da pisi'nin anlaması gerekiyor. En kötü
ihtimal ile sunucudaki public key değiştirildi ve paketlerde bu public key
sahibinin kendi gizli anahtarı ile şifrelendi. Public key'i bu sunucudan alan
değiştirilmiş paketleri alacak.
[...]
> > 4. ya da başka bir öneri/çözüm..?
>
> Neden bir kurulum/güncelleme esnasında uygun bir paket ile kullanıcının
> sistemine ulaşmıyor bu anahtar?
Bir paket ile gelmesi de doğru olabilir tabi. Ama depo'ya ait bir bilgi olduğu
için pisi-index.xml içerisinde de olabilir diye düşünüyorum. Asıl public key
bir keyserver'da durur. pisi-index.xml içerisinde keyid'si olabilir. Public
key'in bize ait olduğunu ispatlamak için de bir yerden sertifika indirtir.
Konsol kullanıcısına bunu da gösteririz, kabul ettirip açık anahtarı
ekletiriz. Paket Yöneticisinde de aynı şekilde.
Bazı durumlarda tavuk yumurta problemi var gibi. Kafam karıştı açıkçası.
Diyelim bir paket içinde açık anahtar. Bu pakette imzalanacak. Ama kontrol
edeceğimiz açık anahtar zaten bu paket içerisinde... gibi...
Zor olan kısım ise, işte şu an kimsenin makinesinde public key ve ya bu alt
yapı bulunmuyor. Geçişi iyi planlamak gerekiyor.
- Faik
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi