KDE 3.1.4 (sygnowanie)
Mateusz Korniak
mateusz w ant.gliwice.pl
Śro, 8 Paź 2003, 14:43:39 CEST
On Wednesday 08 of October 2003 14:28, Andrzej Krzysztofowicz wrote:
> Mateusz Korniak wrote:
> > On Wednesday 08 of October 2003 10:05, Andrzej Krzysztofowicz wrote:
> > > Wersja alpha KDE 3.1.4 lezy w ready. Jak ktos chce, to zapraszam do
> > > testow.
> >
> > Pakiety nieprzysygnowane ;)
>
> Zastanawialem sie nad tym, ale doszedlem do wniosku, ze podpisywanie
> pakietow, ktore _NIE MAJA_ byc oficjalnie wypuszczone jest bez sensu.
Dla mnie ma sens techniczny. Daje w przybliżeniu pewność że nikt po drodze mi
tego pakietu nie podmieni.
Trzeba rozróznić znaczenie podpisu kluczem dystrybucji - oznacza pakiet
wypusczony oficjalnie, a podpisu kluczem buildera co oznacza że ściągnąłeś to
co przygotowali deweloperzy PLD ale _nie_ wydali oficjlanie.
> > Może jestem marudny w kwestii sygnowania pakietów, ale uważam że _każdy_
> > pakiet dostępny na ftp PLD powinien być przysygnowany (jeśli nie kluczem
> > dystrybucji to przynajmniej kluczem buildera), a publiczne klucze powinny
> > być dystrybuowane z gnupg (w Ra) / z rpm (Ac - tam IIRC rpm werfykuje
> > samodzielnie -bez binarki gpg) i dodawane do keyringu root'a [1].
> >
> > Poszedłbym dalej i domyślnie ustawił weryfikacje sygnatury w poldek.conf.
>
> I uniemozliwil tym instalacje z test / wlasnych, niepodpisanych zasobow ...
> ?
Niekoniecznie.
> Jako opcja (per zrodlo) w /etc/poldek.conf - czemu nie.
Dokładnie - per zródło (nie wiem czy da się inaczej).
Własne zasoby byłyby traktowane jak sobie użytkownik życzy.
Test (i inne nie wydane oficjalnie) byłyby podpisany kluczem innym (proponuje
buildera). Po przejściu do oficjalnych zasobów byłby sygnowane ponownie ale
już kluczem dystrybucji.
--
Mateusz Korniak
Więcej informacji o liście dyskusyjnej pld-betatesters