29 Oca 2007 Pts 13:21 tarihinde, Furkan Duman þunlarý yazmýþtý: > Merhaba, > > On 1/29/07, Pýnar Yanardað <pinar at comu.edu.tr> wrote: > > Dediginiz yontem resmi depo icin guzel olabilir. Ancak her depo icin > > kalici bir cozum bulmak istiyorum. > > Resmi depo haricindeki depolar neden imzalanma gereksinimi duysun? > Amaç resmi depodaki paketlerin veya depo indeksinin doðruluðunu > kontrol etmek. > > Resmi depoya "güveniyoruz". Ancak imzalansýn veya imzalanmasýn harici > bir depoya "güvenmememiz" gerektiðini düþünüyorum.
Güvenebilmemiz de gerekebilir ama. A firmasý yazýlýmlarý için depo oluþtursa ve müþterilerine bu depodan hizmet verse. A firmasýnýn da kendisini güvenilebilir gösterebilmesi lazým. En azýndan bu alt yapýyý bir þekilde saðlamamýz lazým. Þöyle bir þey olabilir. Pisi depoyu eklerken açýk anahtar nereden geliyorsa, sertifikasýný da indirecek. CA sertifikasý bu anahtarýn bu firmaya ait olduðu bilgisini gösterecek. Kullanýcý bu depoyu eklerken bu sertifikayý görecek, uyarý bilgi niteliðinde sertifika bilgilerini okuyup sistemine açýk anahtarý ekleyecek. Bu iþlerin nasýl olmasý gerektiðini konuþuruz daha. Ben de imza konusunda çok fazla bilgi sahibi olduðumu söyleyemem. Ama halledemeyeceðimiz bir þey olduðunu da düþünmüyorum. Buradan ortak bir þeyler çýkarýrýz. - Faik
