[Gelistirici] Paket İmzalama
S.Çağlar Onur
caglar at pardus.org.tr
30 Haz 2007 Cmt 13:58:20 EEST
Selamlar;
Ofiste konuştuk ama yorumlarımı e-posta olarak da yazayım.
Yazanın notu; Ben halen jar benzeri/serifika temelli v.s çözümlerin gereksiz
iş çıkartacağını ve sırtımızı gpg'ye verip gitmemiz gerektiğini düşünüyorum.
28 Haz 2007 Per tarihinde, Bahadır Kandemir şunları yazmıştı:
> $subject ile ilgili ufak bir çalışmam oldu, [1]'deki GnuPG wrapper'ını
> kullanıyor.
- nu kullanmaya gerek olduğunu zannetmiyorum, gpg düzgün tanımlanmış dönüş
değerlerine sahip, direkt çağırıp bunları kontrol etmemiz yeterli olacaktır.
Uzun senelerdir geliştirilmeyen bir modülü yanımızda taşımamızı gerektirecek
kadar anlamlı bir iş yapmıyor bu wrapper, illa wrap etmek istersek oturup
kendimiz hallice daha kısa ve basit birşey yazarız.
> Özetle, build sırasında, --sign-package KEY:PASSPHRASE verildiğinde,
> paketteki dosyaların hashlerini içeren, imzalı bir dosya (signature.asc)
> oluturuyor ve .pisi dosyasına ekliyor. Install sırasında ise, imzayı ve
> hash'leri denetledikten sonra, paketin imzalandığı anahtar
> pisi.conf/[security]/trusted içinde ise kurulumu gerçekleştiriyor.
- cli'den PASSPHRASE vermek veya bunu bir config dosyasına yazmak kesinlikle
kabul edilebilecek bir yöntem değil. Build işleminin otomatik olması için
farm passwordless anahtar kullanabilir (ki diğerlerinin yaptığı da bu),
farmda derlenmeyen paketler ise (atıyorum pisi build --sign-package) paketi
yapanın anahtları için imzalayacakları zaman gpg araya girer ve kendi
_güvenli_ metodları ile bu parolayı sorar.
- Paketteki dosyaların hashlerini içeren bir dosya yaratıp bunu imzalıyor
demek bir pisi paketi içinde bulunan comar/*, install.tar.lzma ve files.xml
ve metadata.xml dosyaları değil mi? Böyle ise sorun yok ama install.tar.lzma
içindeki dosyalar için yaptıysan bunu files.xml zaten bunu tutuyor. Hatta
install.tar.lzma'yı imzalamaya gerek olduğuna emin değilim (ayrıca bu dosya
paketin %99'u olarak bu süreci en çok yavaşlatacak arkadaş). files.xml
içindeki sumlar zaten bu dosyanın içeriğinin değişmediğini garanti ediyor,
biz sadece files.xml'in kimden geldiğini ve geçerli imza ile değişmediğini
kontrol etsek yeterli.
- İmzalandığı anahtarı pisi.conf içine yazmanın manası olduğunu
düşünmüyorum, /usr/lib/pardus/pisi/ altında örneğin bir keychain yaratıp açık
anahtarların buraya import edilmesini, pisi'ninde bu keychain ile kontrol
yapmasını sağlamak yeterli (ilk pisi/package-manager kullanımı ırasında
kullanıcıya böyle bir anahtar var import edeyim mi diye sormak gibi)
> [1] svn.pardus.org.tr/uludag/trunk/python-modules/python-gnupg
>
> Hamiş: Genel anahtarın dağıtımı ve pisi-index'in imzalanması ile
> ilgili -henüz- bir çalışmam olmadı
- GPG kullandığımız sürece anahtar dağıtımı bizim sorunumuz/sorumluluğumuz
olmaktan çıkacak, farm'ın anahtarını CD ile, kalanları da anahtar sunucuları
ile almak/vermek yeterli.
2 YKR
--
S.Çağlar Onur <caglar at pardus.org.tr>
http://cekirdek.pardus.org.tr/~caglar/
Linux is like living in a teepee. No Windows, no Gates and an Apache in house!
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20070630/8829ac70/attachment-0002.pgp>
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi