[Gelistirici] Açık anahtar dağıtımı
Erkan Tekman
tekman at pardus.org.tr
30 Oca 2007 Sal 15:36:24 EET
30 Oca 2007 Sal 15:17 tarihinde, Faik Uygur şunları yazmıştı:
> Bu dokümandan çıkan ve düşünmediğimiz bir konu da, depo anahtar çiftinin
> senede bir yenilenmesi işi. Debian her sene bunu gerçekleştiriyor. Hatta
> ilk geçiş (2005-2006 sanırım) apt'daki bir hata sebebiyle başarısız olmuş.
> Tüm paketler güvensiz görünmüş. Bu da düşünebileceğimiz bir şey.
Anahtar uzunluğuna bağlı olarak yenileme işini 3-10 yılda bir yapmak yeterli.
1024 bit bir anahtarı her yıl yenilemeyi isteyebilirsiniz, ama 4096 bit
kullanırsanız 2010'a kadar rahat rahat kullanırsınız tahminim. Bu nedenle
kökü ve sabit anahtarları (örneğin depo) daha uzun boyda ve uzun vadeli,
seyyar (kişi anahtarları) ise daha kısa boyda ve daha kısa vadeli yapmak
genel seçimdir.
> Bu iş öncelikle bir güven ağı (web-of-trust) işi. Güven'in bir yerde
> başlaması gerekiyor. Buna göre anahtar çiftini depo sahibi oluşturacak.
> Bunun yanında depo sahibi'nin de ayrıca kendi anahtar çifti olacak. Kendi
> anahtarı ile oluşturduğu bu açık depo anahtarını imzalayacak. Gerekiyorsa
> depo'dan sorumlu birden fazla geliştirici bu anahtarı imzalayabilir.
Bu işi için elimizin altındaki hazır bir altyapıyı kullanabiliriz. E-imza işi
için TÜBİTAK UEKAE bünyesinde hizmet veren KamuSM (www.kamusm.gov.tr) kök
sertifikasını saklama işini üzerine alabilir. Görüşmek gerekir... Hem de ISO
27001 sertifikasyonuna sahip bir yerde tutulmuş olur kök anahtarı...
> Depo ekleneceği zaman package-manager bu anahtar ile ilgili bir uyarı mesajı
> göstererek: bu depo'ya ait şu anahtar şu şu insanlar tarafından
> imzalanmıştır. Bu anahtarı güvenilir kabul ediyor musunuz? Güveniyor
> musunuz? Ekleyeyim mi? gibi bir takım sorular soracak.
KDE'nin ortak bir sertifika deposu mevcut değil mi? package-manager'ı ya da
pisi-cli'yi bu depoyu kullanacak hale getirsek en iyisi. Bir de sertifika
deposu yazmak zorunda kalmayız.
KamuSM içerisinde epey bir zaman PKI ve imzalama ve ... işlerine hayli
bulaşmış birisi olarak benim oyum kişilerin sertifikalanmasından yana. Hatta
sertifika ve anahtarların (AKİS işletim sistemli :-) akıllı kartlarda
taşınması yönünde görüş bildirdiğimi biliyor kimleriniz...
5 YKr
--
Erkan Tekman
TÜBİTAK UEKAE
Pardus Geliştiricisi
Tel: (262) 648 16 70
Faks:(262) 648 11 00
<-/ Özgürlük için...
www.pardus.org.tr /->
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi