[Gelistirici] Paket İmzalama

S.Çağlar Onur caglar at pardus.org.tr
30 Haz 2007 Cmt 13:58:20 EEST 

Selamlar;

Ofiste konuştuk ama yorumlarımı e-posta olarak da yazayım. 

Yazanın notu; Ben halen jar benzeri/serifika temelli v.s çözümlerin gereksiz 
iş çıkartacağını ve sırtımızı gpg'ye verip gitmemiz gerektiğini düşünüyorum.

28 Haz 2007 Per tarihinde, Bahadır Kandemir şunları yazmıştı: 
> $subject ile ilgili ufak bir çalışmam oldu, [1]'deki GnuPG wrapper'ını
> kullanıyor.

- nu kullanmaya gerek olduğunu zannetmiyorum, gpg düzgün tanımlanmış dönüş 
değerlerine sahip, direkt çağırıp bunları kontrol etmemiz yeterli olacaktır. 
Uzun senelerdir geliştirilmeyen bir modülü yanımızda taşımamızı gerektirecek 
kadar anlamlı bir iş yapmıyor bu wrapper, illa wrap etmek istersek oturup 
kendimiz hallice daha kısa ve basit birşey yazarız.

> Özetle, build sırasında, --sign-package KEY:PASSPHRASE verildiğinde,
> paketteki dosyaların hashlerini içeren, imzalı bir dosya (signature.asc)
> oluturuyor ve .pisi dosyasına ekliyor. Install sırasında ise, imzayı ve
> hash'leri denetledikten sonra, paketin imzalandığı anahtar
> pisi.conf/[security]/trusted içinde ise kurulumu gerçekleştiriyor.

- cli'den PASSPHRASE vermek veya bunu bir config dosyasına yazmak kesinlikle 
kabul edilebilecek bir yöntem değil. Build işleminin otomatik olması için 
farm passwordless anahtar kullanabilir (ki diğerlerinin yaptığı da bu), 
farmda derlenmeyen paketler ise (atıyorum pisi build --sign-package) paketi 
yapanın anahtları için imzalayacakları zaman gpg araya girer ve kendi 
_güvenli_ metodları ile bu parolayı sorar.

- Paketteki dosyaların hashlerini içeren bir dosya yaratıp bunu imzalıyor 
demek bir pisi paketi içinde bulunan comar/*, install.tar.lzma ve files.xml 
ve metadata.xml dosyaları değil mi? Böyle ise sorun yok ama install.tar.lzma 
içindeki dosyalar için yaptıysan bunu files.xml zaten bunu tutuyor. Hatta 
install.tar.lzma'yı imzalamaya gerek olduğuna emin değilim (ayrıca bu dosya 
paketin %99'u olarak bu süreci en çok yavaşlatacak arkadaş). files.xml 
içindeki sumlar zaten bu dosyanın içeriğinin değişmediğini garanti ediyor, 
biz sadece files.xml'in kimden geldiğini ve geçerli imza ile değişmediğini 
kontrol etsek yeterli.

- İmzalandığı anahtarı pisi.conf içine yazmanın manası olduğunu 
düşünmüyorum, /usr/lib/pardus/pisi/ altında örneğin bir keychain yaratıp açık 
anahtarların buraya import edilmesini, pisi'ninde bu keychain ile kontrol 
yapmasını sağlamak yeterli (ilk pisi/package-manager kullanımı ırasında 
kullanıcıya böyle bir anahtar var import edeyim mi diye sormak gibi)

> [1] svn.pardus.org.tr/uludag/trunk/python-modules/python-gnupg
>
> Hamiş: Genel anahtarın dağıtımı ve pisi-index'in imzalanması ile
> ilgili -henüz- bir çalışmam olmadı

- GPG kullandığımız sürece anahtar dağıtımı bizim sorunumuz/sorumluluğumuz 
olmaktan çıkacak, farm'ın anahtarını CD ile, kalanları da anahtar sunucuları 
ile almak/vermek yeterli.

2 YKR
-- 
S.Çağlar Onur <caglar at pardus.org.tr>
http://cekirdek.pardus.org.tr/~caglar/

Linux is like living in a teepee. No Windows, no Gates and an Apache in house!
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20070630/8829ac70/attachment-0002.pgp>

Gelistirici mesaj listesiyle ilgili daha fazla bilgi