[Gelistirici] Paket İmzalama - Eski Bir Hikaye

[Bahadır Kandemir]

Selamlar,

ÇOMÜ'den dönüşte başlayan paket imzalama geyiği sonrası bir tartışma başladı 
ve kısa bir çalışmanın ardından ortaya şöyle [0] bir kod çıktı.

Sistem şöyle işliyor:

 - PISI dosyası (aslında ZIP) içindeki her bir dosyanın SHA1'i alınarak "dosya 
dosya.sum, dosya2 dosya2.sum" formatında bir metin oluşturuluyor.

- OpenSSL ile, özel anahtar kullanılarak SHA1 bilgileri imzalanıyor ve ZIP 
dosyasına yorum olarak [1] ekleniyor.

- Doğrulama (verify) işlemi sırasında, dosyaların sum'ları tekrar hesaplanıyor 
ve sertifika/imza/data üçlüsü kullanılarak imzanın o dataya ait olup olmadığı 
denetleniyor.

- Sertifika CD ile gelmesi ve yenilenmesi gerekirse (misal, revocation 
durumunda) https://paketler.pardus.org.tr'den indirilmesi planlanıyor.


Betik, tek başına kullanılabilir durumda değil. Şu an sadece, paketin belirli 
bir sertifika tarafından imzalandığını ve bütünlüğünün bozulmadığını kontrol 
edebiliyor. Test etmek isteyenler için README [2] de var.

Diğer önemli eksikleri (iptal edilmiş sertifikalar, ) belirlersek, bu hikayeyi 
mutlu bir sona bağlayabiliriz.


[0] http://svn.pardus.org.tr/uludag/trunk/pisi/scripts/package-signing/
[1] http://en.wikipedia.org/wiki/ZIP_(file_format)
[2] http://svn.pardus.org.tr/uludag/trunk/pisi/scripts/package-signing/README
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20100220/da72907f/attachment-0002.pgp>