th packages signing

Patryk Zawadzki patrys w pld-linux.org
Wto, 19 Lut 2008, 17:02:38 CET


2008/2/19 Paweł Zuzelski <z w grabina.waw.pl>:
> On Tuesday 19 February 2008 13:54:45 Andrzej 'The Undefined' Dopierała wrote:
> > ee.. jak klucz dostanie sie w niepowołane miejsce to wtedy mówimy:
> > - chłopaki, skucha, klucz jest zły, nie ufajcie mu, odinstalujcie przez
> >   rpm -e gpg-pubkey-costam-costam i obowiązkowo zainstalujcie nowy.
> >
> > Ale to musi zrobić użytkownik a nie my jako developerzy.
> To można załatwić automatycznie. Poldek mógłby sprawdzać (na przykład przy
> wykonywaniu --up) czy klucz nie jest odwołany (tzn czy nie jest opublikowany
> revoke certificate dla klucza). GPG ma taką funkcjonalność.

Revoke można zrobić tylko, jeśli dalej ma się oryginalny klucz prywatny :)

Jestem zdania, że automatyczne zarządzanie kluczami czyni je zbędnymi
zupełnie. Jeśli paczka może zmienić listę autoryzowanych kluczy, to
równie dobrze każda może być podpisana innym. Moim zdaniem rpm nie
powinien nawet pozwalać na instalację klucza z linii poleceń bez
interwencji użytkownika.

-- 
Patryk Zawadzki
PLD Linux Distribution


Więcej informacji o liście dyskusyjnej pld-devel-pl