th packages signing

Paweł Zuzelski z w grabina.waw.pl
Nie, 17 Lut 2008, 13:09:32 CET


On Saturday 16 February 2008 09:11:22 Daniel Dawid Majewski wrote:
> Pewnego dnia wpadła wieść od Elan Ruusamäe i powiedziała :
> > th packages are being signed right now, and hopefully all updates too in
> > the future.
> > you can grab the key from here:
> > ftp://ftp.pld-linux.org/dists/th/PLD-3.0-Th-GPG-key.asc
>
> Czy to jest możliwe, aby sobie takie rzeczy poldek zasysał sam przy
> poldek --up/--upa ?
> Does it possible to include key import in poldek by poldek --up/--upa ?

Witam,

To jest trochę bez sensu. Klucz nie powinien być przesyłany tą samą drogą 
którą są przesyłane dane. Obecnie podpis daje złudne poczucie 
bezpieczeństwa - jeżeli komuś uda się podrzucić mi "oszukane" pakiety (na 
przykład podszywając się pod domenę pld-linux.org), to równie łatwo może mi 
podrzucić własny klucz i poldek się nie zorientuje, że instalowane pakiety 
nie pochodzą z PLD.

Może rozwiązaniem byłoby uzyskać podpis cacert.org na kluczu?

-- 
Pozdrawiam,
Paweł Zuzelski


Więcej informacji o liście dyskusyjnej pld-devel-pl