[Gelistirici] Paket İmzalama - Eski Bir Hikaye

[Erkan Tekman]

20 Şubat 2010 Cumartesi 12:54:40 tarihinde Bahadır Kandemir şunları yazmıştı:
> - Doğrulama (verify) işlemi sırasında, dosyaların sum'ları tekrar
>  hesaplanıyor ve sertifika/imza/data üçlüsü kullanılarak imzanın o dataya
>  ait olup olmadığı denetleniyor.

Burada kontrol edilen tam da yazdığın gibi dosyaların verili anahtar ile 
imzalanıp imzalanmadıkları ve yine dosyalarda bir değişiklik yapılıp 
yapılmadığı. Ama imzalamada kullanılan anahtarın geçerliliği ve güvenilirliği 
konusunda birşey yok. Tabii bunun için sertifika formatı ve güven zinciri 
konuları devreye giriyor. Özellikle Türkiye ve kurumsal pazarı için 
sertifikaların mevcut BTK onaylı sertifika makamlarından alınmış kod imzalama 
sertifikası olması düşünülebilir. Hatta bizim çiftlik - depo arasında Kamu 
SM'den alınmış ve akıllı karta konmuş bir sertifika ile fiziksel güvenlik de 
sağlanılabilir. Küresel kullanılabilirlik için ise gpg anahtarlarına dayalı 
bir alternatif sistem kullanılabilir. Dün akşam konuştuğumuz konular 
sonuçta...

Benim 2 param...

ET