[Gelistirici] depo indekslerinin imzalanmasi
Pınar Yanardağ
pinar at comu.edu.tr
29 Oca 2007 Pzt 00:54:06 EET
Selamlar,
A. Murat Eren wrote On 29-01-2007 00:26:
> Merhabalar,
>
> On Saturday 27 January 2007 18:54, Pınar Yanardağ wrote:
>
>> Depo indekslerinin kontrolü için kullanacağımız public anahtarı nerede
>> tutmalıyız? Bunun için aklıma gelen alternatifler şöyle:
>>
>> 1. ben public anahtarı depodaki diğer dosyalarla aynı dizinde başka bir
>> dosyada tutmayı düşünüyorum. indeksi kontrol ederken [bkz: #2] direkt bu
>> dosyayı arar, anahtarı gpg'nin havuzuna ekleriz [kontrol işini gpg
>> halledecek çünkü].
>>
>> (burda güvenlik sorunu ön plana çıkıyor tabii.
>>
>
> Public key için nasıl bir güvenlik sorunu çıkabilir?
>
>
Konuyu Faik Bey'le konusurken boyle bir ihtimal geldi aklimiza. Aslinda
bir guvenlik sorunu olarak nitelemekte yanilmis olabilirim. Guvenlikten
kastim, birisi oradaki public anahtari degistirip paketler uzerinde
dogrulama saglayarak sisteme zarar verebilir seklindeydi. Tabii bunun
icin depoyu zaten ele gecirip paketleri de degistirmesi gerek.. Yani
sunucunun guvenlik riskine giriyor bu daha cok. Ama bunu dusunerek bir
guvenlik sorununu kastetmistim.
>> ancak bir şekilde bu
>> anahtarı sunucuda bir yerde tutmak gerekiyor. o yüzden güvenlik riski
>> anahtar depo dizininde tutulsa da tutulmasa da aynı diye düşünüyorum.)
>>
>> 2. ya da public anahtarı index dosyasına örneğin imza diye bir tag'ın
>> içine yerleştiririz. imza kontrolü sırasında public anahtarı direkt bu
>> tag'dan alır ve gpg'ye ekleriz.
>>
>> 3. ya da anahtarı bir keyserver'da tutarız, indeks dosyasında bir tag
>> içinde de keyid'yi tutarız. buradan anahtara ulaşıp gpg'ye ekleriz.
>>
>> 4. ya da başka bir öneri/çözüm..?
>>
>
> Neden bir kurulum/güncelleme esnasında uygun bir paket ile kullanıcının
> sistemine ulaşmıyor bu anahtar?
>
>
>
Bu da olabilir tabii.
--
İyi çalışmalar,
Pınar Yanardağ
http://PINguAR.org
> Selamlar.
>
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi