[Gelistirici] depo indekslerinin imzalanmasi
Faik Uygur
faik at pardus.org.tr
29 Oca 2007 Pzt 13:32:08 EET
29 Oca 2007 Pts 13:21 tarihinde, Furkan Duman şunları yazmıştı:
> Merhaba,
>
> On 1/29/07, Pınar Yanardağ <pinar at comu.edu.tr> wrote:
> > Dediginiz yontem resmi depo icin guzel olabilir. Ancak her depo icin
> > kalici bir cozum bulmak istiyorum.
>
> Resmi depo haricindeki depolar neden imzalanma gereksinimi duysun?
> Amaç resmi depodaki paketlerin veya depo indeksinin doğruluğunu
> kontrol etmek.
>
> Resmi depoya "güveniyoruz". Ancak imzalansın veya imzalanmasın harici
> bir depoya "güvenmememiz" gerektiğini düşünüyorum.
Güvenebilmemiz de gerekebilir ama. A firması yazılımları için depo oluştursa
ve müşterilerine bu depodan hizmet verse. A firmasının da kendisini
güvenilebilir gösterebilmesi lazım. En azından bu alt yapıyı bir şekilde
sağlamamız lazım.
Şöyle bir şey olabilir. Pisi depoyu eklerken açık anahtar nereden geliyorsa,
sertifikasını da indirecek. CA sertifikası bu anahtarın bu firmaya ait olduğu
bilgisini gösterecek. Kullanıcı bu depoyu eklerken bu sertifikayı görecek,
uyarı bilgi niteliğinde sertifika bilgilerini okuyup sistemine açık anahtarı
ekleyecek.
Bu işlerin nasıl olması gerektiğini konuşuruz daha. Ben de imza konusunda
çok fazla bilgi sahibi olduğumu söyleyemem. Ama halledemeyeceğimiz bir şey
olduğunu da düşünmüyorum. Buradan ortak bir şeyler çıkarırız.
- Faik
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi