[Gelistirici] Paket İmzalama - Eski Bir Hikaye
Bahadır Kandemir
bahadir at pardus.org.tr
20 Şub 2010 Cmt 12:54:40 EET
Selamlar,
ÇOMÜ'den dönüşte başlayan paket imzalama geyiği sonrası bir tartışma başladı
ve kısa bir çalışmanın ardından ortaya şöyle [0] bir kod çıktı.
Sistem şöyle işliyor:
- PISI dosyası (aslında ZIP) içindeki her bir dosyanın SHA1'i alınarak "dosya
dosya.sum, dosya2 dosya2.sum" formatında bir metin oluşturuluyor.
- OpenSSL ile, özel anahtar kullanılarak SHA1 bilgileri imzalanıyor ve ZIP
dosyasına yorum olarak [1] ekleniyor.
- Doğrulama (verify) işlemi sırasında, dosyaların sum'ları tekrar hesaplanıyor
ve sertifika/imza/data üçlüsü kullanılarak imzanın o dataya ait olup olmadığı
denetleniyor.
- Sertifika CD ile gelmesi ve yenilenmesi gerekirse (misal, revocation
durumunda) https://paketler.pardus.org.tr'den indirilmesi planlanıyor.
Betik, tek başına kullanılabilir durumda değil. Şu an sadece, paketin belirli
bir sertifika tarafından imzalandığını ve bütünlüğünün bozulmadığını kontrol
edebiliyor. Test etmek isteyenler için README [2] de var.
Diğer önemli eksikleri (iptal edilmiş sertifikalar, ) belirlersek, bu hikayeyi
mutlu bir sona bağlayabiliriz.
[0] http://svn.pardus.org.tr/uludag/trunk/pisi/scripts/package-signing/
[1] http://en.wikipedia.org/wiki/ZIP_(file_format)
[2] http://svn.pardus.org.tr/uludag/trunk/pisi/scripts/package-signing/README
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20100220/da72907f/attachment-0002.pgp>
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi