Czy poldek sprawdza autentyczność pakietów ściaganych dla PLD podczas instalacji ?
Mateusz Korniak
mateusz w ant.gliwice.pl
Nie, 23 Mar 2003, 12:11:08 CET
On Sunday 23 of March 2003 11:40, Tomasz Kłoczko wrote:
> On Sun, 23 Mar 2003, Artur Frysiak wrote:
> > On Sat, Mar 22, 2003 at 08:22:55PM +0100, Tomasz Kłoczko wrote:
> > > On Sat, 22 Mar 2003, Mateusz Korniak wrote:
> > > [..]
> > >
> > > > Chyba nie będzie. Jak ktoś ma instalke haknieta to już do niczego ona
> > > > mu się nie przyda. Zweryfikować ją może jedynie zewnętrznym
> > > > niehaknietym gpg, mając autentyczny klucz PLD.
> > >
> > > IMHO jednek dobrze by było w trakcie instalacji wyświetlaś FP klucza
> > > którey będzie używany w trakcie instalacji.
> >
> > Po co ? Hacknięta instalka przecież może wyświetlić cokolwiek a nie swój
> > FP.
>
> OK. Czy są w takim razie jakieś inne metody weryfikacji klucza w
> środowisku w którym nie można zauwać binarce gpg ?
W zhakowanym środowisku nie.
> Tak czy ianczej instalacja z weryfikacja powinna być raczje dostępna w
> trakcie instalacji instalatorem (tu chyba się zgodzisz ?).
Instalator powinien dać się zautentykować 'zewnętrznie' (np. skrót image iso
czy dyskietki dostępny po https z ważnym certyfikatem). A instalator już
powinien mieć klucz PLD (w takiej czy innej formie) do autentykacji dalszych
pakietów.
--
Mateusz Korniak
"Black holes are where God divided by zero." - Steven Wright
Więcej informacji o liście dyskusyjnej pld-users-pl