[Gelistirici] Paket İmzalama
Ismail Dönmez
ismail at pardus.org.tr
1 Tem 2007 Paz 15:08:20 EEST
On Sunday 01 July 2007 15:02:43 Gürer Özen wrote:
> On Sunday 01 July 2007 12:56:52 Ismail Dönmez wrote:
> > Bu neden birden fazla imza olayını karışık yapsın ki?
>
> İki kişi nasıl imzalayacağız bir pisi paketini?
>
> lala.sig
> lala.sig2 ?
Her dosyanın bir signature'ı olmalı zaten. Bir emailı n-kişinin imzalaması
gibi şey olmadığı gibi bir paket için de aynısı geçerli.
> > İmzayı paketin içine
> > yerleştirmek tam tersine güvenlik problemi yaratıcaktır bence, çünkü
> > sisteme saldırmak isteyen biri için 2 hedef yerine 1 hedef olacak
> > değiştirmesi gereken.
>
> Abi çok saçma bir iddia bu :)
>
> Dosyalar güvensiz bir medyumdan geliyor zaten (internet yada başka birinden
> gelen cd mesela). Bir, iki, üç, beş tane olmaları farketmez. Hepsi
> kurcalanmış yada özel üretilmiş olabilir. Bizim amacımız, kurmadan önce,
> bunların güvendiğimiz bir kaynaktan geldiklerine emin olmak.
Yoo hiç de saçma değil, detached signature kullanmak bir satır, signature'ı
içine gömmek istersen yapman gereken iş kaç satır? Detached sig olayında
sadece gpg'nin güvenli olması gerekirken, diğer durumda senin yazdığın kodun
da herhangi bir şekilde güvenlik problemi olmaması lazım. Gereksiz complexity
yaratıyoruz çoklu imza desteği falan derken.
/ismail
--
Perfect is the enemy of good
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 827 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20070701/eae096bf/attachment-0002.pgp>
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi