Czy poldek sprawdza autentyczność pakietów ściaganych dla PLD podczas instalacji ?
Mateusz Korniak
mateusz w ant.gliwice.pl
Sob, 22 Mar 2003, 18:22:53 CET
On sob 22. marzec 2003 17:57, Tomasz Kłoczko wrote:
> On Sat, 22 Mar 2003, Mateusz Korniak wrote:
> > On pią 21. marzec 2003 19:49, Tomasz Kłoczko wrote:
> > > On Thu, 20 Mar 2003, Artur Frysiak wrote:
> > > > Wystarczy użyć rpm 4.1 który sam weryfikuje sygnatury GPG/PGP bez
> > > > pomocy zewnętrznego programu.
> > >
> > > Myślę raczje o czyms innym .. problem raczje jest w tym że klucz
> > > dystrybucyjny powinien byc w keyringu.
> > > Keyring powinien być wczęniej wygenerowany (w raz hasłem do niego) i
> > > dopiero piwero do niego powinien być zaimportowany klucz i podpidsany
> > > hasłem keyringa.
> > > W sumie w instalce mżnaby zrobić gotowy keyring z pustym hasłem i po
> > > dociągnięciu klucza zaimportowaniu co trzeba i dalej ciągnąć
> > > instalację.
> >
> > Nie rozumiem powyzszego. Sądze że byłoby milo gdyby instalacja PLD
> > zawierała a) rpm 4.1 z kluczem PLD do autentykacji ściągnnych pakietów b)
> > keyring gpg z tym samym kluczem dystrybucji (umieszczony np domyślnym
> > keyringu root'a), który byłby używany w starszym rpmie gdy jest
> > zainstalowane gpg.
> >
> > Nie widze (albo nie rozumiem ;) ) powodów używania 'pustych haseł' i
> > 'dociągnia klucza'.
>
> Keyring ma swoje hasło.
OK. Założyłem że klucze publiczne nie są trzymane pod hasłem.
> Ktoś może mieć instalke hakniętą, a procedura ściagniecia klucza
> w ascii i zaimportowanai go włącznie w ypisaniem FP klucza po takim
> imporcie będzie wystarczajacym elementem weryfikującym całość.
Chyba nie będzie. Jak ktoś ma instalke haknieta to już do niczego ona mu się
nie przyda. Zweryfikować ją może jedynie zewnętrznym niehaknietym gpg, mając
autentyczny klucz PLD.
--
Mateusz Korniak
easy.com easy.go
Więcej informacji o liście dyskusyjnej pld-users-pl