On 03/05/15 04:15, Cagri Emer wrote: > Merhaba, > > Su siralar ModernCrypto listesinde dolayli da olsa tartisilan TOFU > (trust on first use), ilk kullanimda guvenme, kavramini biraz acmak ve > listedekilerin kullanim aliskanliklarina dair genel fikir edinmek > amaciyla yaziyorum. > > Bildiginiz uzere ilk defa baglandiginiz SSH sunucular, eger DNS ile > dogrulama gibi ekstra secenekleri kullamiyorsaniz, size bir parmak izi > sunup, bu parmak izinin kontrolunu yapmanizi ister. Boylelikle gercekten > baglanmak istediginiz sunucuya baglanmis oldugunuzu teyit edebilirsiniz. > > Pratikte yeni olusturulmus sunucularin parmak izini cevremde tanidigim > cogu kimse kontrol etmiyor. Sunucuya ilk baglandiklari zaman > ~/.ssh/known_hosts altina sunucu bir kere kaydedildikten sonra sistem > gayet duzgun calisiyor evet, fakat ilk kullanimda gercekten istedigimiz > sunucuya baglandigimiza parmak izi kontrolu yapmadan neden guveniyoruz? > Bunu bir atak vektoru olarak goruyor musunuz? > > Yine ayni sekilde, son zamanlarda cikan keybase.io gibi hizmetleri > saymazsak, birine sifreli bir posta yollamak istediginizde karsi tarafin > acik anahtarini ne sekilde ediniyorsunuz? Anahtar sunuculardan > buldugunuz anahtarin gercekten o kisinin anahtari olup olmadigini > bilmediginiz durumlarda postanizi yollamaktan cekiniyor musunuz yoksa ne > olursa olsun yolluyor musunuz? Peki ya size imzalanmis olarak gelen bir > postaya, anahtarin gercekten o kisiye ait olup olmadigini > bilmediginiz/dogrulayamadiginiz durumlarda "ilk kullanimda guvenip" > sifrelenmis bir cevap yazar misiniz? > > Web of Trust, DNS+DNSSEC, kendi anahtar sunuculariniz, kendi PKI'nizi > kurup S/MIME ile calismak, keybase.io gibi hizmetler arasinda secim > yapacak olursaniz anahtar/parmak izi dagitimini guvenli hale getirmek > icin, hangisini, neden secerdiniz? > > Kolayliklar, > Cagri > _______________________________________________ > Linux-sohbet mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-sohbet > Liste kurallari: http://liste.linux.org.tr/kurallar.php
Selamlar, İlk soru için teşekkürler, hiç dikkat etmemiştim daha önce. Bunun üzerine düşünmek gerek. 2.'si için yanıtım, pgp.mit.edu'ya yüklediğim public key'imin son 8 basamağını, "GPG: 0xA1AFC6FC" biçiminde tüm sosyal mecralardaki profil bilgilerimde paylaşıyorum. 3.'sü için, en ideali bunu bir tür grid üzerinde barındırmak ve bu gride üye olanlar topluluğunu genişletmeye çalışmak diye düşünüğyorum. Esenlikle:)
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Linux-sohbet mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
