Selamlar, Bir süredir paket depolarýn indekslerinin imzalanmasý iþine bakýyorum. Depolarýn imzalanmasý iþiyle ilgili bir kaç noktada aklýma gelen bazý fikirler oldu, ama hayata geçirmeden önce listeye danýþayým dedim.
#1 Depo indekslerinin kontrolü için kullanacaðýmýz public anahtarý nerede tutmalýyýz? Bunun için aklýma gelen alternatifler þöyle: 1. ben public anahtarý depodaki diðer dosyalarla ayný dizinde baþka bir dosyada tutmayý düþünüyorum. indeksi kontrol ederken [bkz: #2] direkt bu dosyayý arar, anahtarý gpg'nin havuzuna ekleriz [kontrol iþini gpg halledecek çünkü]. (burda güvenlik sorunu ön plana çýkýyor tabii. ancak bir þekilde bu anahtarý sunucuda bir yerde tutmak gerekiyor. o yüzden güvenlik riski anahtar depo dizininde tutulsa da tutulmasa da ayný diye düþünüyorum.) 2. ya da public anahtarý index dosyasýna örneðin imza diye bir tag'ýn içine yerleþtiririz. imza kontrolü sýrasýnda public anahtarý direkt bu tag'dan alýr ve gpg'ye ekleriz. 3. ya da anahtarý bir keyserver'da tutarýz, indeks dosyasýnda bir tag içinde de keyid'yi tutarýz. buradan anahtara ulaþýp gpg'ye ekleriz. 4. ya da baþka bir öneri/çözüm..? #2 Depo indekslerinin imza kontrolü ne zaman yapýlmalý ? 1. benim düþüncem indekslerin imza kontrolünü, depo indeksleriyle ilgili komutlar çalýþýtýlýrken bütünleþik olarak yapmak. bu komutlar, - add-repo - update-repo olarak sýralanýyor. (belki list-repo komutunda da kontrol yapýp, her deponun yanýna güvenilirlik bilgisini gösterebiliriz ?) 2. ya da bu komutlardan baðýmsýz olarak isteðe baðlý bir parametre ile depo indeksinin kontrolü yapýlýr 3. ya da yukarýdakilerin her ikisi de beraber olabilir. 4. alternatifler..? Ýyi çalýþmalar, Pýnar Yanardað http://PINguAR.org <http://PINguAR.org>
