[Gelistirici] depo indekslerinin imzalanmasi
Ismail Dönmez
ismail at pardus.org.tr
29 Oca 2007 Pzt 13:14:51 EET
On Monday 29 January 2007 11:21:47 Faik Uygur wrote:
> 29 Oca 2007 Pts 00:26 tarihinde, A. Murat Eren şunları yazmıştı:
> > Merhabalar,
>
> Merhaba,
>
> [...]
>
> > Public key için nasıl bir güvenlik sorunu çıkabilir?
>
> Public key'in bize ait olduğunu da pisi'nin anlaması gerekiyor. En kötü
> ihtimal ile sunucudaki public key değiştirildi ve paketlerde bu public key
> sahibinin kendi gizli anahtarı ile şifrelendi. Public key'i bu sunucudan
> alan değiştirilmiş paketleri alacak.
>
> [...]
>
> > > 4. ya da başka bir öneri/çözüm..?
> >
> > Neden bir kurulum/güncelleme esnasında uygun bir paket ile kullanıcının
> > sistemine ulaşmıyor bu anahtar?
>
> Bir paket ile gelmesi de doğru olabilir tabi. Ama depo'ya ait bir bilgi
> olduğu için pisi-index.xml içerisinde de olabilir diye düşünüyorum. Asıl
> public key bir keyserver'da durur.
Keyserver'da durması ok ama pisi'nin keyserver ile işi olmaması lazım çünkü
güvenli olmaz öyle, birileri networkü ele geçirirse başka bir key
gönderebilir.
/ismail
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi