[Gelistirici] depo indekslerinin imzalanmasi
Furkan Duman
coderlord at gmail.com
29 Oca 2007 Pzt 13:29:03 EET
On 1/29/07, Ismail Dönmez <ismail at pardus.org.tr> wrote:
> On Monday 29 January 2007 11:21:47 Faik Uygur wrote:
> > 29 Oca 2007 Pts 00:26 tarihinde, A. Murat Eren şunları yazmıştı:
> > > Merhabalar,
> >
> > Merhaba,
> >
> > [...]
> >
> > > Public key için nasıl bir güvenlik sorunu çıkabilir?
> >
> > Public key'in bize ait olduğunu da pisi'nin anlaması gerekiyor. En kötü
> > ihtimal ile sunucudaki public key değiştirildi ve paketlerde bu public key
> > sahibinin kendi gizli anahtarı ile şifrelendi. Public key'i bu sunucudan
> > alan değiştirilmiş paketleri alacak.
> >
> > [...]
> >
> > > > 4. ya da başka bir öneri/çözüm..?
> > >
> > > Neden bir kurulum/güncelleme esnasında uygun bir paket ile kullanıcının
> > > sistemine ulaşmıyor bu anahtar?
> >
> > Bir paket ile gelmesi de doğru olabilir tabi. Ama depo'ya ait bir bilgi
> > olduğu için pisi-index.xml içerisinde de olabilir diye düşünüyorum. Asıl
> > public key bir keyserver'da durur.
>
> Keyserver'da durması ok ama pisi'nin keyserver ile işi olmaması lazım çünkü
> güvenli olmaz öyle, birileri networkü ele geçirirse başka bir key
> gönderebilir.
Pisi, açık anahtarı dışarıdaki bir kaynaktan almamalıdır. Doğru yöntem
Pardus ile birlikte bir açık anahtarın gelmesiydi. Bence şu an için en
iyi yöntem bir paket ile bir seferliğine açık anahtarı dağıtmak
olacaktır.
--
Furkan Duman
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi