[Gelistirici] Paket İmzalama - Eski Bir Hikaye
Erkan Tekman
tekman at pardus.org.tr
20 Şub 2010 Cmt 18:22:08 EET
20 Şubat 2010 Cumartesi 12:54:40 tarihinde Bahadır Kandemir şunları yazmıştı:
> - Doğrulama (verify) işlemi sırasında, dosyaların sum'ları tekrar
> hesaplanıyor ve sertifika/imza/data üçlüsü kullanılarak imzanın o dataya
> ait olup olmadığı denetleniyor.
Burada kontrol edilen tam da yazdığın gibi dosyaların verili anahtar ile
imzalanıp imzalanmadıkları ve yine dosyalarda bir değişiklik yapılıp
yapılmadığı. Ama imzalamada kullanılan anahtarın geçerliliği ve güvenilirliği
konusunda birşey yok. Tabii bunun için sertifika formatı ve güven zinciri
konuları devreye giriyor. Özellikle Türkiye ve kurumsal pazarı için
sertifikaların mevcut BTK onaylı sertifika makamlarından alınmış kod imzalama
sertifikası olması düşünülebilir. Hatta bizim çiftlik - depo arasında Kamu
SM'den alınmış ve akıllı karta konmuş bir sertifika ile fiziksel güvenlik de
sağlanılabilir. Küresel kullanılabilirlik için ise gpg anahtarlarına dayalı
bir alternatif sistem kullanılabilir. Dün akşam konuştuğumuz konular
sonuçta...
Benim 2 param...
ET
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi