[Gelistirici] Paket İmzalama

Gürer Özen gurer at pardus.org.tr
30 Haz 2007 Cmt 14:51:42 EEST 

On Saturday 30 June 2007 13:58:20 S.Çağlar Onur wrote:

İlk önce şunu yazayım, imzaya acil bir ihtiyacımız olmadığı gibi, yarım 
yamalak bir çözüm, bir sürü açığa sahip olacak ve sahte bir güvenlik hissi 
yaratacağı için bu işin böyle hadi yarım saatte kodlayalım mantığıyla 
yapılmasına karşıyım.

Bu işi yapacak kişinin önce gerekler belgesindeki (bunu wikide bulamadım, 
nereye kayboldu? maillerden geri oluşturalım hazır kopyası yoksa) istekleri 
sağlayan bir tasarım yazması, sonra bunun imza konusunda bilgili yeterince 
kişinin review'ından geçmesi, sonra oturup kodlamaya başlanması lazım.

> Yazanın notu; Ben halen jar benzeri/serifika temelli v.s çözümlerin
> gereksiz iş çıkartacağını ve sırtımızı gpg'ye verip gitmemiz gerektiğini
> düşünüyorum.

jar dosya yapısı sadece, sertifika vb ile ilgisi yok.

.pisi dosyası içinde bir adet dosyada files.xml, metadata.xml, çomar betikleri 
ve install.tar.lzma'nın hash'i olacak. Mesela signs/ diye bir dizin içinde de 
bu ufak dosyayı imzalayanların imza ve eğer varsa sertifikaları olacak.

Bu yapı paketin imzasını yanında taşımasını sağlıyor, birden fazla imza 
destekliyor, farklı imza şekilleri destekliyor, geriye uyumlu, işlemesi de 
oldukça basit.

İmzanın gpg vb yle atılmasından, sertifika taşıyıp taşımamasından bağımsız 
olduğu için bu yapıya yönelik herhangi geçerli bir teknik karşı çıkış nedeni 
göremiyorum.

> - cli'den PASSPHRASE vermek veya bunu bir config dosyasına yazmak
> kesinlikle kabul edilebilecek bir yöntem değil. Build işleminin otomatik

Katılıyorum. ps aux'ta gözüken, bash_history'ye giren bir password'ü kim 
ister :)

> tutuyor. Hatta install.tar.lzma'yı imzalamaya gerek olduğuna emin değilim
> (ayrıca bu dosya paketin %99'u olarak bu süreci en çok yavaşlatacak
> arkadaş). files.xml içindeki sumlar zaten bu dosyanın içeriğinin
> değişmediğini garanti ediyor

Ben eminim, bu dosyayı direk açıyoruz, önce açıp sonra kontrol edemeyiz, kötü 
niyetli bir paket inotify ile takip edilen yerlerden birine bir dosya atıp, 
daha dosyalar açılırken pat diye kendini çalıştırabilir.

Ya bu dosyanın hash'ini kontrol edip öyle açacağız, yada önce geçici bir yere 
açıp, dosyaları, hashlerini kontrol ettikten sonra asıl yerlerine 
taşıyacağız. Bu ikinci yol daha fazla disk alanı isteyecek ve tatsız olacak.

Gelistirici mesaj listesiyle ilgili daha fazla bilgi