th packages signing
Andrzej 'The Undefined' Dopierała
undefine at aramin.net
Tue Feb 19 17:19:46 CET 2008
On Tue, Feb 19, 2008 at 05:02:38PM +0100, Patryk Zawadzki wrote:
> > > ee.. jak klucz dostanie sie w niepowołane miejsce to wtedy mówimy:
> > > - chłopaki, skucha, klucz jest zły, nie ufajcie mu, odinstalujcie przez
> > > rpm -e gpg-pubkey-costam-costam i obowiązkowo zainstalujcie nowy.
> > >
> > > Ale to musi zrobić użytkownik a nie my jako developerzy.
> > To można załatwić automatycznie. Poldek mógłby sprawdzać (na przykład przy
> > wykonywaniu --up) czy klucz nie jest odwołany (tzn czy nie jest opublikowany
> > revoke certificate dla klucza). GPG ma taką funkcjonalność.
>
> Revoke można zrobić tylko, jeśli dalej ma się oryginalny klucz prywatny :)
>
> Jestem zdania, że automatyczne zarządzanie kluczami czyni je zbędnymi
> zupełnie. Jeśli paczka może zmienić listę autoryzowanych kluczy, to
> równie dobrze każda może być podpisana innym. Moim zdaniem rpm nie
> powinien nawet pozwalać na instalację klucza z linii poleceń bez
> interwencji użytkownika.
hm.. wyczuwam sprzeczność..
przeciez instalacja z lini poleceń to jest interwencja użytkownika...
--
Andrzej 'The Undefined' Dopierała
Linux && Unix && Network administrator
PLD Linux Developer HomePage: http://andrzej.dopierala.name/
JID: undefine at piastlan.net e-mail: andrzej at dopierala.name
More information about the pld-devel-pl
mailing list