Merhaba, Su siralar ModernCrypto listesinde dolayli da olsa tartisilan TOFU (trust on first use), ilk kullanimda guvenme, kavramini biraz acmak ve listedekilerin kullanim aliskanliklarina dair genel fikir edinmek amaciyla yaziyorum.
Bildiginiz uzere ilk defa baglandiginiz SSH sunucular, eger DNS ile dogrulama gibi ekstra secenekleri kullamiyorsaniz, size bir parmak izi sunup, bu parmak izinin kontrolunu yapmanizi ister. Boylelikle gercekten baglanmak istediginiz sunucuya baglanmis oldugunuzu teyit edebilirsiniz. Pratikte yeni olusturulmus sunucularin parmak izini cevremde tanidigim cogu kimse kontrol etmiyor. Sunucuya ilk baglandiklari zaman ~/.ssh/known_hosts altina sunucu bir kere kaydedildikten sonra sistem gayet duzgun calisiyor evet, fakat ilk kullanimda gercekten istedigimiz sunucuya baglandigimiza parmak izi kontrolu yapmadan neden guveniyoruz? Bunu bir atak vektoru olarak goruyor musunuz? Yine ayni sekilde, son zamanlarda cikan keybase.io gibi hizmetleri saymazsak, birine sifreli bir posta yollamak istediginizde karsi tarafin acik anahtarini ne sekilde ediniyorsunuz? Anahtar sunuculardan buldugunuz anahtarin gercekten o kisinin anahtari olup olmadigini bilmediginiz durumlarda postanizi yollamaktan cekiniyor musunuz yoksa ne olursa olsun yolluyor musunuz? Peki ya size imzalanmis olarak gelen bir postaya, anahtarin gercekten o kisiye ait olup olmadigini bilmediginiz/dogrulayamadiginiz durumlarda "ilk kullanimda guvenip" sifrelenmis bir cevap yazar misiniz? Web of Trust, DNS+DNSSEC, kendi anahtar sunuculariniz, kendi PKI'nizi kurup S/MIME ile calismak, keybase.io gibi hizmetler arasinda secim yapacak olursaniz anahtar/parmak izi dagitimini guvenli hale getirmek icin, hangisini, neden secerdiniz? Kolayliklar, Cagri _______________________________________________ Linux-sohbet mailing list Linux-sohbet@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
