[Gelistirici] depo indekslerinin imzalanmasi

[Aycan iRiCAN]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

From: "Aycan iRiCAN" <aycan.irican at core.gen.tr>
To: gelistirici at uludag.org.tr
Subject: Re: [Gelistirici] depo indekslerinin imzalanmasi
Gcc: nnfolder+archive:sent-mail
Organization: Kor Biliœô ÿim Teknolojileri Ltd. œô şti.
X-Home-Page: http://www.core.gen.tr/
Reply-to: "Aycan iRiCAN" <aycan.irican at core.gen.tr>
Date: Mon, 29 Jan 2007 13:45:29 +0200
In-Reply-To: <45BD298E.5060905 at comu.edu.tr> (P�ınar Yanarda�ğ's message of "Mon, 29 Jan 2007 00:54:06 +0200")
Message-ID: <87ps8ydpk6.fsf at core.gen.tr>
User-Agent: Gnus/5.11 (Gnus v5.11) Emacs/22.0.90 (gnu/linux)
X-Draft-From: ("nnimap+coregentr:INBOX.Lists.gelistirici" 409)
References: <45BBF42E.10201 at comu.edu.tr>
	<200701281626.20749.meren at pardus.org.tr>
	<45BD298E.5060905 at comu.edu.tr>
- --text follows this line--
<#secure method=pgp mode=sign>
P�ınar Yanarda�ğ <pinar at comu.edu.tr> writes:

> Selamlar,
>
> A. Murat Eren wrote On 29-01-2007 00:26:
>>  Merhabalar,
>>
>> On Saturday 27 January 2007 18:54, P�ınar Yanarda�ğ wrote:
>>   
>>> Depo indekslerinin kontrol�ü i�çin kullanaca�ğ�ım�ız public anahtar�ı nerede
>>> tutmal�ıy�ız? Bunun i�çin akl�ıma gelen alternatifler �ş�öyle:
>>>
>>> 1. ben public anahtar�ı depodaki di�ğer dosyalarla ayn�ı dizinde ba�şka bir
>>> dosyada tutmay�ı d�ü�ş�ün�üyorum. indeksi kontrol ederken [bkz: #2] direkt bu
>>> dosyay�ı arar, anahtar�ı gpg'nin havuzuna ekleriz [kontrol i�şini gpg
>>> halledecek �ç�ünk�ü].
>>>
>>> (burda g�üvenlik sorunu �ön plana �ç�ık�ıyor tabii. 
>>>     
>>
>>  Public key i�çin nas�ıl bir g�üvenlik sorunu �ç�ıkabilir?
>>
>>   
>
> Konuyu Faik Bey'le konusurken boyle bir ihtimal geldi aklimiza. Aslinda 
> bir guvenlik sorunu olarak nitelemekte yanilmis olabilirim. Guvenlikten 
> kastim, birisi oradaki public anahtari degistirip paketler uzerinde 
> dogrulama saglayarak sisteme zarar verebilir seklindeydi. Tabii bunun 
> icin depoyu zaten ele gecirip paketleri de degistirmesi gerek.. Yani 
> sunucunun guvenlik riskine giriyor bu daha cok. Ama bunu dusunerek bir 
> guvenlik sorununu kastetmistim.

$ cat /var/lib/pisi/index/pardus-2007/uri
http://paketler.pardus.org.tr/pardus-2007/pisi-index.xml.bz2

$ host paketler.pardus.org.tr
paketler.pardus.org.tr is an alias for ns1.pardus.org.tr.
ns1.pardus.org.tr has address 139.179.139.251
                              ^^^^^^^^^^^^^^^

Senaryoyu hayal edebilirsiniz.

>
>>> ancak bir �şekilde bu 
>>> anahtar�ı sunucuda bir yerde tutmak gerekiyor. o y�üzden g�üvenlik riski
>>> anahtar depo dizininde tutulsa da tutulmasa da ayn�ı diye d�ü�ş�ün�üyorum.)
>>>
>>> 2. ya da public anahtar�ı index dosyas�ına �örne�ğin imza diye bir tag'�ın
>>> i�çine yerle�ştiririz. imza kontrol�ü s�ıras�ında public anahtar�ı direkt bu
>>> tag'dan al�ır ve gpg'ye ekleriz.
>>>
>>> 3. ya da anahtar�ı bir keyserver'da tutar�ız, indeks dosyas�ında bir tag
>>> i�çinde de keyid'yi tutar�ız. buradan anahtara ula�ş�ıp gpg'ye ekleriz.
>>>
>>> 4. ya da ba�şka bir �öneri/�ç�öz�üm..?
>>>     
>>
>>  Neden bir kurulum/g�üncelleme esnas�ında uygun bir paket ile kullan�ıc�ın�ın 
>> sistemine ula�şm�ıyor bu anahtar?
>>
>>
>>   
>
> Bu da olabilir tabii.

Bence bu da olmamalœô Ñ. Bu t�ür yapœô Ñlar hep bir g�üven iliœô ÿkisine
dayanœô Ñyor kanœô Ñmca. Bu nedenle �öncelikle kurulum yaptœô Ñœô ¿œô Ñmœô Ñz CD'ye
g�üveniyoruz ve kuruyoruz. Bu CD'den bir (ya da birden fazla) genel
anahtar �çœô Ñkmalœô Ñ (�önceden kurmuœô ÿ olanlar i�çin riski az bir y�öntem
�önerilmeli). Baœô ÿka bir depo eklenecekse bu deponun genel anahtarœô Ñnœô Ñn
olduœô ¿u bir paket CD'den �çœô Ñkacak anahtar ile imzalanmœô Ñœô ÿ olmalœô Ñ. B�öylece
yeni eklenen depodan kurulum yaparken kullanœô Ñlacak olan anahtar zaten
g�üvenilen bir kaynaktan kurulmalœô Ñ. 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.1 (GNU/Linux)

iD8DBQFFvd5cJZJwgy0AK78RAuy/AJ96u7yG34gtE3oVNDD96pzbThny4QCcC5VE
OZjzt1MsHBUabWzZI/KJk68=
=6R5j
-----END PGP SIGNATURE-----