[Gelistirici] Açık anahtar dağıtımı

Erkan Tekman tekman at pardus.org.tr
30 Oca 2007 Sal 15:36:24 EET 

30 Oca 2007 Sal 15:17 tarihinde, Faik Uygur şunları yazmıştı: 
> Bu dokümandan çıkan ve düşünmediğimiz bir konu da, depo anahtar çiftinin
> senede bir yenilenmesi işi. Debian her sene bunu gerçekleştiriyor. Hatta
> ilk geçiş (2005-2006 sanırım) apt'daki bir hata sebebiyle başarısız olmuş.
> Tüm paketler güvensiz görünmüş. Bu da düşünebileceğimiz bir şey.

Anahtar uzunluğuna bağlı olarak yenileme işini 3-10 yılda bir yapmak yeterli. 
1024 bit bir anahtarı her yıl yenilemeyi isteyebilirsiniz, ama 4096 bit 
kullanırsanız 2010'a kadar rahat rahat kullanırsınız tahminim. Bu nedenle 
kökü ve sabit anahtarları (örneğin depo) daha uzun boyda ve uzun vadeli, 
seyyar (kişi anahtarları)  ise daha kısa boyda ve daha kısa vadeli yapmak 
genel seçimdir.

> Bu iş öncelikle bir güven ağı (web-of-trust) işi. Güven'in bir yerde
> başlaması gerekiyor.  Buna göre anahtar çiftini depo sahibi oluşturacak.
> Bunun yanında depo sahibi'nin de ayrıca kendi anahtar çifti olacak. Kendi
> anahtarı ile oluşturduğu bu açık depo anahtarını imzalayacak. Gerekiyorsa
> depo'dan sorumlu birden fazla geliştirici bu anahtarı imzalayabilir.

Bu işi için elimizin altındaki hazır bir altyapıyı kullanabiliriz. E-imza işi 
için TÜBİTAK UEKAE bünyesinde hizmet veren KamuSM (www.kamusm.gov.tr) kök 
sertifikasını saklama işini üzerine alabilir. Görüşmek gerekir... Hem de ISO 
27001 sertifikasyonuna sahip bir yerde tutulmuş olur kök anahtarı...

> Depo ekleneceği zaman package-manager bu anahtar ile ilgili bir uyarı mesajı
> göstererek: bu depo'ya ait şu anahtar şu şu insanlar tarafından
> imzalanmıştır. Bu anahtarı güvenilir kabul ediyor musunuz? Güveniyor
> musunuz? Ekleyeyim mi? gibi bir takım sorular soracak. 

KDE'nin ortak bir sertifika deposu mevcut değil mi? package-manager'ı ya da 
pisi-cli'yi bu depoyu kullanacak hale getirsek en iyisi. Bir de sertifika 
deposu yazmak zorunda kalmayız. 

KamuSM içerisinde epey bir zaman PKI ve imzalama ve ... işlerine hayli 
bulaşmış birisi olarak benim oyum kişilerin sertifikalanmasından yana. Hatta 
sertifika ve anahtarların (AKİS işletim sistemli :-) akıllı kartlarda 
taşınması yönünde görüş bildirdiğimi biliyor kimleriniz...

5 YKr

-- 
Erkan Tekman
TÜBİTAK UEKAE
Pardus Geliştiricisi

Tel: (262) 648 16 70
Faks:(262) 648 11 00
<-/ Özgürlük için...
www.pardus.org.tr /->

Gelistirici mesaj listesiyle ilgili daha fazla bilgi