[Gelistirici] Paket İmzalama

[Ismail Dönmez]

On Saturday 30 June 2007 15:12:24 Gürer Özen wrote:
> On Saturday 30 June 2007 14:59:07 S.Çağlar Onur wrote:
> > Kurum ve kuruluşlar için bir CA ile çalışmak (hatta bu işin KamuSM ile
> > örneğin entegre olması, anahtarların akfitler ile dağıtılıyor olması
> > falan) çok daha hoş/anlamlı ve güzel iken aynı güzelliği/kolaylığı
> > geliştiricilerimizin elinden almış oluyoruz, basitce mail gönderirken
> > kullandıkları anahtar ile bu işi çözmek varken ortaya bir de sertifika ve
> > yan araçlarını çıkartıyoruz.
>
> Buna ben de katılıyorum, zaten bu nedenle o gerekler belgesinde, isteyenin
> hiç imza kullanmayabileceği, isteyenin basitçe kendi anahtarıyla
> imzalayacağı, isteyenin de tam bir CA, revocation list, vb destekli çözüm
> kullanabilmesi gerektiği yazıyordu.

Kendi public key'imizi dağıtmanın benim bulabildiğim en güvenli yolu şöyle;

- pardus.org.tr içinde bir OpenLDAP PGP Key Server açarız
- Bizim public keyimiz bu serverda durur
- ldaps:// üzerinden SSL ile iletişime izin verir sadece
- pisi hardcoded bir adresten bizim anahtarımızı gpg ile ister ve database'ine 
ekler

Böylece;

- Kullanıcıya ulaşan key'in bizim olduğundan emin oluruz
- SSL üzerinden iletişime geçtiğimiz için man in the middle attack dan da 
korunmuş oluruz.

Paket imzalama kısmında sorun yok zaten, detached signature kullanıp, 
authentication işini pinentry'ye bıraktığımız sürece güvenlik problemimiz 
olmaz. Pisi dosyalarının yanında eş bir *.sig dosyası olur vs.

Simple is secure, secure is simple.

Benim 0.2€ 

/ismail

-- 
Perfect is the enemy of good
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 827 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20070701/22dae751/attachment-0002.pgp>