[devel] repo: release

Пн Июн 19 18:06:25 MSK 2017

Здравствуйте!

В Пн, 19/06/2017 в 17:31 +0300, Boris Savelev пишет:
> 19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov <naf@>
> написал:
> > ....
> > > > > Дополнительный вопрос: 21 век, а в release _только_ md5...
> > > > > доколе?)
> > > > 
> > > > Будем надеяться, уже скоро.
> > 
> > А чем он плох _в данном случае_? ...
> 
> Ну... Как минимум на всякий случай.
> https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA
> 256
> Clients may not use the MD5Sum and SHA1 fields for security purposes,
> and must require a SHA256 or a SHA512 field.

Это в Debian'е и для их deb'ов.

У нас же 

$ rpm --checksig -vv  alt-gpgkeys-0.7.118-alt1.src.rpm 
D: Ожидаемый размер:       262690 = lead(96)+sigs(248)+pad(0)+data(262346)
D: Фактический размер:       262690
alt-gpgkeys-0.7.118-alt1.src.rpm:
MD5 sum OK: 4d0a5101640c959f198373d884d0c74b
gpg: WARNING: unsafe ownership on homedir `/usr/lib/alt-gpgkeys'
gpg: Signature made Tue Jun 13 17:40:59 2017 MSK using DSA key ID AE4AE412
gpg: Good signature from "R. E. Gnimocni <incominger@>"

Смысл использовать в release что-либо сложнее MD5, если сами
пакеты верифицируются MD5 и PGP с ключом DSA/1024 (т.е., насколько
я понимаю, с использованием SHA-1) ? 

-- 
С уважением,
Николай Фетисов