Podpisy pakietów

[Paweł Gołaszewski]

On Sun, 6 Jul 2003, Pawel Kosiorowski wrote:
> > > Bzdura. Jeśli nie rozumiesz jak podpisanie pakietu nawet
> > > 'skompromitowanym' kluczem PLD utrudnia podmiane tego pakietu osobie
> > > postronnej,
> > Bzdurą jest to co ty piszesz. Skompromitowany klucz powoduje, że nie
> > masz pojęcia kto klucz ma w swoim posiadaniu i czyje tak naprawdę są
> > jego podpisy. Więc podpisywanie nim nie ma sensu, proste.
> No nie na razie klucz o ile wiadomo mają 2 osoby... cała reszta ludzi
> nie ma tego klucza... Nawet jeśli któryś z posiadaczy zacznie rozdawać
> klucz na prawo i lewo (na co się nie zanosi) to dysproporcja pozostanie.

Pojawiły się wątpliwości co do tego kto ma klucz i kto go może używać. 
To w zupełności wystarczy, żeby zaniechać wogóle używania tego klucza 
(pomijając pozostałe aspekty obecnej sytuacji).

> Kontynuując wątek mam pytanie czy jeśli pociągnę bootkietki z
> ftp.pld-linux.org i wybiorę sobie instalacje przez sieć to pakiety
> dostanę z:
> a) ftp.pld.org.pl
> b) ftp.pld-linux.org

_Teraz_ dostaniesz _domyślnie_ z ftp.pld.org.pl
I co z tego?
1.1 niedługo będzie, z nowymi dystkietkami.

> nie musisz odpowiadać..., ale czy idąc Twoim tokiem rozumowania całe RA
> nie jest skompromitowane, kloczek może na ftp wystawić cokolwiek...

Nie, nie jest.
Poza tym, kloczka nie podejrzewam o nic złego. Wręcz przeciwnie.

Chodzi mi tylko i wyłącznie o zasady 


Tak z innej strony - przez wydaniem 1.0 pakiety nie były wogóle 
podpisywane i jakoś nikt na to nie narzekał. Ja wiem, że sytuacja się 
zmieniła, ale ja bym nie demonizował całej sprawy.
Inna sprawa, że mam pewien pomysł na obecną chwilę, ciekawe czy starczy mi 
na to czasu :)

-- 
pozdr.  Paweł Gołaszewski 
---------------------------------
worth to see: http://www.againsttcpa.com/
CPU not found - software emulation...