th packages signing
Patryk Zawadzki
patrys w pld-linux.org
Wto, 19 Lut 2008, 17:24:54 CET
2008/2/19 Andrzej 'The Undefined' Dopierała <undefine w aramin.net>:
> On Tue, Feb 19, 2008 at 05:02:38PM +0100, Patryk Zawadzki wrote:
> > > > ee.. jak klucz dostanie sie w niepowołane miejsce to wtedy mówimy:
> > > > - chłopaki, skucha, klucz jest zły, nie ufajcie mu, odinstalujcie przez
> > > > rpm -e gpg-pubkey-costam-costam i obowiązkowo zainstalujcie nowy.
> > > >
> > > > Ale to musi zrobić użytkownik a nie my jako developerzy.
> > > To można załatwić automatycznie. Poldek mógłby sprawdzać (na przykład przy
> > > wykonywaniu --up) czy klucz nie jest odwołany (tzn czy nie jest opublikowany
> > > revoke certificate dla klucza). GPG ma taką funkcjonalność.
> >
> > Revoke można zrobić tylko, jeśli dalej ma się oryginalny klucz prywatny :)
> >
> > Jestem zdania, że automatyczne zarządzanie kluczami czyni je zbędnymi
> > zupełnie. Jeśli paczka może zmienić listę autoryzowanych kluczy, to
> > równie dobrze każda może być podpisana innym. Moim zdaniem rpm nie
> > powinien nawet pozwalać na instalację klucza z linii poleceń bez
> > interwencji użytkownika.
> hm.. wyczuwam sprzeczność..
> przeciez instalacja z lini poleceń to jest interwencja użytkownika...
Ale można to samo wywołać w %post na przykład. Chodzi mi o fizyczne
sprawdzenie, czy jest terminal i przeczytanie z niego jakiegoś ciągu
znaków ("yes I know what I'm doing").
--
Patryk Zawadzki
PLD Linux Distribution
Więcej informacji o liście dyskusyjnej pld-devel-pl