29 Oca 2007 Pts 00:26 tarihinde, A. Murat Eren þunlarý yazmýþtý: > Merhabalar,
Merhaba, [...] > Public key için nasýl bir güvenlik sorunu çýkabilir? Public key'in bize ait olduðunu da pisi'nin anlamasý gerekiyor. En kötü ihtimal ile sunucudaki public key deðiþtirildi ve paketlerde bu public key sahibinin kendi gizli anahtarý ile þifrelendi. Public key'i bu sunucudan alan deðiþtirilmiþ paketleri alacak. [...] > > 4. ya da baþka bir öneri/çözüm..? > > Neden bir kurulum/güncelleme esnasýnda uygun bir paket ile kullanýcýnýn > sistemine ulaþmýyor bu anahtar? Bir paket ile gelmesi de doðru olabilir tabi. Ama depo'ya ait bir bilgi olduðu için pisi-index.xml içerisinde de olabilir diye düþünüyorum. Asýl public key bir keyserver'da durur. pisi-index.xml içerisinde keyid'si olabilir. Public key'in bize ait olduðunu ispatlamak için de bir yerden sertifika indirtir. Konsol kullanýcýsýna bunu da gösteririz, kabul ettirip açýk anahtarý ekletiriz. Paket Yöneticisinde de ayný þekilde. Bazý durumlarda tavuk yumurta problemi var gibi. Kafam karýþtý açýkçasý. Diyelim bir paket içinde açýk anahtar. Bu pakette imzalanacak. Ama kontrol edeceðimiz açýk anahtar zaten bu paket içerisinde... gibi... Zor olan kýsým ise, iþte þu an kimsenin makinesinde public key ve ya bu alt yapý bulunmuyor. Geçiþi iyi planlamak gerekiyor. - Faik
