On 1/29/07, Ismail Dönmez <ismail at pardus.org.tr> wrote: > On Monday 29 January 2007 11:21:47 Faik Uygur wrote: > > 29 Oca 2007 Pts 00:26 tarihinde, A. Murat Eren þunlarý yazmýþtý: > > > Merhabalar, > > > > Merhaba, > > > > [...] > > > > > Public key için nasýl bir güvenlik sorunu çýkabilir? > > > > Public key'in bize ait olduðunu da pisi'nin anlamasý gerekiyor. En kötü > > ihtimal ile sunucudaki public key deðiþtirildi ve paketlerde bu public key > > sahibinin kendi gizli anahtarý ile þifrelendi. Public key'i bu sunucudan > > alan deðiþtirilmiþ paketleri alacak. > > > > [...] > > > > > > 4. ya da baþka bir öneri/çözüm..? > > > > > > Neden bir kurulum/güncelleme esnasýnda uygun bir paket ile kullanýcýnýn > > > sistemine ulaþmýyor bu anahtar? > > > > Bir paket ile gelmesi de doðru olabilir tabi. Ama depo'ya ait bir bilgi > > olduðu için pisi-index.xml içerisinde de olabilir diye düþünüyorum. Asýl > > public key bir keyserver'da durur. > > Keyserver'da durmasý ok ama pisi'nin keyserver ile iþi olmamasý lazým çünkü > güvenli olmaz öyle, birileri networkü ele geçirirse baþka bir key > gönderebilir.
Pisi, açýk anahtarý dýþarýdaki bir kaynaktan almamalýdýr. Doðru yöntem Pardus ile birlikte bir açýk anahtarýn gelmesiydi. Bence þu an için en iyi yöntem bir paket ile bir seferliðine açýk anahtarý daðýtmak olacaktýr. -- Furkan Duman
