[Gelistirici] Paket İmzalama

[S.Çağlar Onur]

Selamlar;

30 Haz 2007 Cts tarihinde, Gürer Özen şunları yazmıştı: 
> İlk önce şunu yazayım, imzaya acil bir ihtiyacımız olmadığı gibi, yarım
> yamalak bir çözüm, bir sürü açığa sahip olacak ve sahte bir güvenlik hissi
> yaratacağı için bu işin böyle hadi yarım saatte kodlayalım mantığıyla
> yapılmasına karşıyım.
>
> Bu işi yapacak kişinin önce gerekler belgesindeki (bunu wikide bulamadım,
> nereye kayboldu? maillerden geri oluşturalım hazır kopyası yoksa) istekleri
> sağlayan bir tasarım yazması, sonra bunun imza konusunda bilgili yeterince
> kişinin review'ından geçmesi, sonra oturup kodlamaya başlanması lazım.

+1

> > Yazanın notu; Ben halen jar benzeri/serifika temelli v.s çözümlerin
> > gereksiz iş çıkartacağını ve sırtımızı gpg'ye verip gitmemiz gerektiğini
> > düşünüyorum.
>
> jar dosya yapısı sadece, sertifika vb ile ilgisi yok.
>
> .pisi dosyası içinde bir adet dosyada files.xml, metadata.xml, çomar
> betikleri ve install.tar.lzma'nın hash'i olacak. Mesela signs/ diye bir
> dizin içinde de bu ufak dosyayı imzalayanların imza ve eğer varsa
> sertifikaları olacak.
>
> Bu yapı paketin imzasını yanında taşımasını sağlıyor, birden fazla imza
> destekliyor, farklı imza şekilleri destekliyor, geriye uyumlu, işlemesi de
> oldukça basit.
>
> İmzanın gpg vb yle atılmasından, sertifika taşıyıp taşımamasından bağımsız
> olduğu için bu yapıya yönelik herhangi geçerli bir teknik karşı çıkış
> nedeni göremiyorum.

Karşı çıkışım teknik değil zaten, bu sertifikaların geçerli olup olmadığını 
kontrol etmek için

Ya kabul edilmiş bir CA imzası taşımaları gerekiyor (thawte v.s) veya KamuSM 
gibi kendi alanında yetkisini ilan eden bir merkezin imzası gerekiyor.

Biz bu herhangi bir CA'dan bu sertifikayı kolay ve ağrısız bir şekilde 
alabiliyor olsak bile kendi paketini imzalayacak adamlar için bu iş sıkıntılı 
olabilir, adam a) Yetkili CA'ya para vermek istemeyebilir, b) Yetkili CA'nın 
ücretsiz servisi varsa ve harika bile işliyorsa kişisel bilgilerini bu 
adamlar ile paylaşmak istemeyebilir. Savunduğumuz felsefe gereği bu işin 
arkasında _ticari_ bir kurum veya kuruluşun olmasını istemeyebilir v.s .s. 

Oturduğu yerden kendini Certificate Authority diye ilan etmediği sürece 
insanları bir çözüme zorunlu yöneltmiş oluyoruz.

Kurum ve kuruluşlar için bir CA ile çalışmak (hatta bu işin KamuSM ile örneğin 
entegre olması, anahtarların akfitler ile dağıtılıyor olması falan) çok daha 
hoş/anlamlı ve güzel iken aynı güzelliği/kolaylığı geliştiricilerimizin 
elinden almış oluyoruz, basitce mail gönderirken kullandıkları anahtar ile bu 
işi çözmek varken ortaya bir de sertifika ve yan araçlarını çıkartıyoruz.

Özetle itirazlarım teknik değil sosyal :P

> > tutuyor. Hatta install.tar.lzma'yı imzalamaya gerek olduğuna emin değilim
> > (ayrıca bu dosya paketin %99'u olarak bu süreci en çok yavaşlatacak
> > arkadaş). files.xml içindeki sumlar zaten bu dosyanın içeriğinin
> > değişmediğini garanti ediyor
>
> Ben eminim, bu dosyayı direk açıyoruz, önce açıp sonra kontrol edemeyiz,
> kötü niyetli bir paket inotify ile takip edilen yerlerden birine bir dosya
> atıp, daha dosyalar açılırken pat diye kendini çalıştırabilir.
>
> Ya bu dosyanın hash'ini kontrol edip öyle açacağız, yada önce geçici bir
> yere açıp, dosyaları, hashlerini kontrol ettikten sonra asıl yerlerine
> taşıyacağız. Bu ikinci yol daha fazla disk alanı isteyecek ve tatsız
> olacak

Ah evet bunu unutmuşum, hash kontrol edene kadar imzayı kontrol etmek daha az 
masraflı olacaktır sanırım :)

Saygılar
-- 
S.Çağlar Onur <caglar at pardus.org.tr>
http://cekirdek.pardus.org.tr/~caglar/

Linux is like living in a teepee. No Windows, no Gates and an Apache in house!
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20070630/4cfa460d/attachment-0002.pgp>