Czy poldek sprawdza autentyczność pakietów ściaganych dla PLD podczas instalacji ?

[Tomasz Kłoczko]

On Sat, 22 Mar 2003, Mateusz Korniak wrote:

> On pią 21. marzec 2003 19:49, Tomasz Kłoczko wrote:
> > On Thu, 20 Mar 2003, Artur Frysiak wrote:
> 
> > > Wystarczy użyć rpm 4.1 który sam weryfikuje sygnatury GPG/PGP bez pomocy
> > > zewnętrznego programu.
> >
> > Myślę raczje o czyms innym .. problem raczje jest w tym że klucz
> > dystrybucyjny powinien byc w keyringu.
> > Keyring powinien być wczęniej wygenerowany (w raz hasłem do niego) i
> > dopiero piwero do niego powinien być zaimportowany klucz i podpidsany
> > hasłem keyringa.
> > W sumie w instalce mżnaby zrobić gotowy keyring z pustym hasłem i po
> > dociągnięciu klucza zaimportowaniu co trzeba i dalej ciągnąć instalację.
> 
> Nie rozumiem powyzszego. Sądze że byłoby milo gdyby instalacja PLD zawierała 
> a) rpm 4.1 z kluczem PLD do autentykacji ściągnnych pakietów b) keyring gpg z 
> tym samym kluczem dystrybucji (umieszczony np domyślnym keyringu root'a), 
> który byłby używany w starszym rpmie gdy jest zainstalowane gpg.
> 
> Nie widze (albo nie rozumiem ;) ) powodów używania 'pustych haseł' i 
> 'dociągnia klucza'.

Keyring ma swoje hasło.

Ktoś może mieć instalke hakniętą, a procedura ściagniecia klucza 
w ascii i zaimportowanai go włącznie w ypisaniem FP klucza po takim 
imporcie będzie wystarczajacym elementem weryfikującym całość.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*