Re: [Gelistirici] Paket İmzalama - Eski Bir Hikaye
> yogun bir sinav donemindeyim bu nedenle yazilanlar hakkinda uzun uzun > düsünmedim, ama aklima bir baska konu geldi imzalama ile ilgili. > Sadece paketlerin degil depo indeksinin de imzalanmasi gerektigini > düsünüyorum. Acaba yaniliyor muyum? Paketlerin tek başlarına da dağıtılabileceklerinü düşünerek, sadece indeks imzalamanın yeterli olmayacağına karar verdik. Indeksi imzalayacağız, paketleri indirmeye başlamadan önce, deponun güvenirliğini kontrol etmek iyi olur. > Bir de paket icindeki dosyalarin tek tek imzalanmasi sart mi acaba? PISI içinde, metadata.xml, files.xml, sisteme kurulacak paketleri içeren install.tar.lzma dosyaları ve comar betikleri bulunuyor. Bu dosyaları tek tek imzalamak yerine, bu dosyalar kullanılarak oluşturulan şöyle bir data imzalanıyor: metedata.xml bbf0537a95becae8fb8d08578e59b5d89919e07d files.xml 85a93c108659ec28ecccee99cf6719663d0c1c7f install.tar.lzma 722fffe8f1c254a48883b0db42b90c10aa3cb688 comar/package.py e2dd6497df867630e38527a52c8da3de50d426a0 install.tar.lzma imzalanmasa da olur belki, files.xml içinde sisteme kurulacak dosyaların listesi ve SUM'ları var nasılsa. ___ Gelistirici mailing list Gelistirici@pardus.org.tr http://liste.pardus.org.tr/mailman/listinfo/gelistirici
Re: [Gelistirici] Paket İmzalama - Eski Bir Hikaye
Merhaba, yogun bir sinav donemindeyim bu nedenle yazilanlar hakkinda uzun uzun düsünmedim, ama aklima bir baska konu geldi imzalama ile ilgili. Sadece paketlerin degil depo indeksinin de imzalanmasi gerektigini düsünüyorum. Acaba yaniliyor muyum? Bir de paket icindeki dosyalarin tek tek imzalanmasi sart mi acaba? Iyi calismalar, Selim -- One more step for freedom: http://www.pardus.org.tr/eng/ ___ Gelistirici mailing list Gelistirici@pardus.org.tr http://liste.pardus.org.tr/mailman/listinfo/gelistirici
Re: [Gelistirici] Paket İmzalama - Eski Bir Hikaye
20 Şubat 2010 Cumartesi 12:54:40 tarihinde Bahadır Kandemir şunları yazmıştı: > - Doğrulama (verify) işlemi sırasında, dosyaların sum'ları tekrar > hesaplanıyor ve sertifika/imza/data üçlüsü kullanılarak imzanın o dataya > ait olup olmadığı denetleniyor. Burada kontrol edilen tam da yazdığın gibi dosyaların verili anahtar ile imzalanıp imzalanmadıkları ve yine dosyalarda bir değişiklik yapılıp yapılmadığı. Ama imzalamada kullanılan anahtarın geçerliliği ve güvenilirliği konusunda birşey yok. Tabii bunun için sertifika formatı ve güven zinciri konuları devreye giriyor. Özellikle Türkiye ve kurumsal pazarı için sertifikaların mevcut BTK onaylı sertifika makamlarından alınmış kod imzalama sertifikası olması düşünülebilir. Hatta bizim çiftlik - depo arasında Kamu SM'den alınmış ve akıllı karta konmuş bir sertifika ile fiziksel güvenlik de sağlanılabilir. Küresel kullanılabilirlik için ise gpg anahtarlarına dayalı bir alternatif sistem kullanılabilir. Dün akşam konuştuğumuz konular sonuçta... Benim 2 param... ET ___ Gelistirici mailing list Gelistirici@pardus.org.tr http://liste.pardus.org.tr/mailman/listinfo/gelistirici
[Gelistirici] Paket İmzalama - Eski Bir Hikaye
Selamlar, ÇOMÜ'den dönüşte başlayan paket imzalama geyiği sonrası bir tartışma başladı ve kısa bir çalışmanın ardından ortaya şöyle [0] bir kod çıktı. Sistem şöyle işliyor: - PISI dosyası (aslında ZIP) içindeki her bir dosyanın SHA1'i alınarak "dosya dosya.sum, dosya2 dosya2.sum" formatında bir metin oluşturuluyor. - OpenSSL ile, özel anahtar kullanılarak SHA1 bilgileri imzalanıyor ve ZIP dosyasına yorum olarak [1] ekleniyor. - Doğrulama (verify) işlemi sırasında, dosyaların sum'ları tekrar hesaplanıyor ve sertifika/imza/data üçlüsü kullanılarak imzanın o dataya ait olup olmadığı denetleniyor. - Sertifika CD ile gelmesi ve yenilenmesi gerekirse (misal, revocation durumunda) https://paketler.pardus.org.tr'den indirilmesi planlanıyor. Betik, tek başına kullanılabilir durumda değil. Şu an sadece, paketin belirli bir sertifika tarafından imzalandığını ve bütünlüğünün bozulmadığını kontrol edebiliyor. Test etmek isteyenler için README [2] de var. Diğer önemli eksikleri (iptal edilmiş sertifikalar, ) belirlersek, bu hikayeyi mutlu bir sona bağlayabiliriz. [0] http://svn.pardus.org.tr/uludag/trunk/pisi/scripts/package-signing/ [1] http://en.wikipedia.org/wiki/ZIP_(file_format) [2] http://svn.pardus.org.tr/uludag/trunk/pisi/scripts/package-signing/README signature.asc Description: This is a digitally signed message part. ___ Gelistirici mailing list Gelistirici@pardus.org.tr http://liste.pardus.org.tr/mailman/listinfo/gelistirici
