th packages signing
Paweł Zuzelski
z at grabina.waw.pl
Sun Feb 17 13:09:32 CET 2008
On Saturday 16 February 2008 09:11:22 Daniel Dawid Majewski wrote:
> Pewnego dnia wpadła wieść od Elan Ruusamäe i powiedziała :
> > th packages are being signed right now, and hopefully all updates too in
> > the future.
> > you can grab the key from here:
> > ftp://ftp.pld-linux.org/dists/th/PLD-3.0-Th-GPG-key.asc
>
> Czy to jest możliwe, aby sobie takie rzeczy poldek zasysał sam przy
> poldek --up/--upa ?
> Does it possible to include key import in poldek by poldek --up/--upa ?
Witam,
To jest trochę bez sensu. Klucz nie powinien być przesyłany tą samą drogą
którą są przesyłane dane. Obecnie podpis daje złudne poczucie
bezpieczeństwa - jeżeli komuś uda się podrzucić mi "oszukane" pakiety (na
przykład podszywając się pod domenę pld-linux.org), to równie łatwo może mi
podrzucić własny klucz i poldek się nie zorientuje, że instalowane pakiety
nie pochodzą z PLD.
Może rozwiązaniem byłoby uzyskać podpis cacert.org na kluczu?
--
Pozdrawiam,
Paweł Zuzelski
More information about the pld-devel-pl
mailing list