[devel] non-authoritative Sisyphus packages

[Igor Vlasenko]

On Fri, Aug 15, 2008 at 11:49:57AM +0400, Alexey Tourbin wrote:
> On Fri, Aug 15, 2008 at 10:43:48AM +0300, Igor Vlasenko wrote:
> > On Fri, Aug 15, 2008 at 11:16:39AM +0400, Stanislav Ievlev wrote:
> > > Бывает, что мантейнеры теряют ключи, а пакеты подписанные старыми ключами
> > > остаются.
> > > Также иногда ключи "протухают", а пакеты всё ещё живут.
> > > 
> > > Наверное для этого надо придумать policy, а потом уже уважаемые и
> > > смотрящие будут ему следовать ;)
> > 
> > да, но фокус в том, что пользователь напишет
> > rpm [alt] file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
> > 
> > а система скажет, что он пользуется фальшивым репозиторием с 
> > поддельными пакетами :)
> 
> Нет, ключом [alt] подписан файл /ALT/Sisyphus/x86_64/base/release.
> Подписи у пакетов апт не проверяет.

Тогда отбой воздушной тревоги.

Но с пакетами нужно как-то подумать.
IMHO, просто переподписать.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine