Ra + lista zyczen + sygnatury pakietow

Jakub Bogusz qboosh w pld.org.pl
Pon, 23 Cze 2003, 18:47:21 CEST 

On Mon, Jun 23, 2003 at 06:09:55PM +0200, Paweł Gołaszewski wrote:
> On Mon, 23 Jun 2003, Andrzej Krzysztofowicz wrote:
> > > > Skoro już zaczynają się pojawiać pakiety to pytanka:
> > > > 
> > > > 1. Czy pakiety owe są sygnowane jakimś kluczem (mam wrażenie że
> > > > starym nie ) ?
> > > A właśnie - ostatnie porcje updates/ nie są podpisane. Kto ma to robić
> > > (kwestia hasła do klucza, które zna jedna osoba)?
> 
> hhmmm... no to widać, że ja nie umiem podpisywać :)))

Efekt rpm -K -v na świeżych pakietach (np. man z security, file z general:

/home/ftp/mirror/ftp.pld-linux.org/dists/ra/updates/security/i686/man-1.5l-3.i686.rpm:
MD5 sum OK: dfd540bc4dfc009e4ffd31f077e76e97

/home/ftp/mirror/ftp.pld-linux.org/dists/ra/updates/general/i686/file-4.03-1.i686.rpm:
MD5 sum OK: f031c4c4e13416f743bfc1c761f9001f

A na openssl z security:

/home/ftp/mirror/ftp.pld-linux.org/dists/ra/updates/security/i686/openssl-0.9.6j-1.i686.rpm:
MD5 sum OK: a210e28f7b2ba97655bdcaca7fd82f7b
gpg: Podpisano w śro 16 kwi 2003 07:24:12 CEST kluczem DSA o numerze F9651D5A.
gpg: Poprawny podpis złożony przez "PLD Linux Distribution (PLD Linux Distribution GPG key) <feedback w pld.org.pl>"
[...]

> > Mysle, ze wazniejsza kwestia jest: jak plynnie zmienic klucz.
> 
> Pomysł jest taki:
> Wypuszczamy rpm-a z nowym kluczem, podpisanym starym. Jednocześnie 
> wszystkie pakiety na ftp-ie podpisujemy także nowym kluczem. Wydaje mi 
> się, że śmiało pakiet może być podpisany dwoma kluczami, prawda?

Nie jestem pewien. W nowym manualu do rpm-a jest, że --addsign znaczy to
samo co --resign.
W 4.0.2 (angielskim, bo tamtego polskiego lepiej nie dotykać) jeszcze
było rozróżnienie - może tamta wersja pozwalała na więcej sygnatur GPG, ale
ciekawe co powie nowa wersja na takie pakiety.

> Nowy klucz można komisyjnie wygenerować podczas zlotu + podpisanie jego 
> swoimi kluczami przez wszystkich obecnych. Takie mega-sign-party.
> 
> Do tego miejsca wydaje mi się sprawa jest prosta i w miarę jasna - tak 
> chyba można zrobić i należy, prawda?
> 
> Teraz pytanie - jak zachowa się rpm mają 2 podpisy, z czego jeden będzie 
> wiarygodny i podpisany? Uzna pakiet za błędnie podpisany, prawidłowo czy 
> się wywali ;)

rpm chyba chce sprawdzać wszystkie istniejące sygnatury - ale nie
sprawdzałem co kiedy jest więcej niż jedna GPG.


-- 
Jakub Bogusz    http://cyber.cs.net.pl/~qboosh/

Więcej informacji o liście dyskusyjnej pld-devel-pl