[devel] repo: release
Nikolay A. Fetisov
naf на naf.net.ru
Пн Июн 19 18:06:25 MSK 2017
Здравствуйте!
В Пн, 19/06/2017 в 17:31 +0300, Boris Savelev пишет:
> 19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov <naf@>
> написал:
> > ....
> > > > > Дополнительный вопрос: 21 век, а в release _только_ md5...
> > > > > доколе?)
> > > >
> > > > Будем надеяться, уже скоро.
> >
> > А чем он плох _в данном случае_? ...
>
> Ну... Как минимум на всякий случай.
> https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA
> 256
> Clients may not use the MD5Sum and SHA1 fields for security purposes,
> and must require a SHA256 or a SHA512 field.
Это в Debian'е и для их deb'ов.
У нас же
$ rpm --checksig -vv alt-gpgkeys-0.7.118-alt1.src.rpm
D: Ожидаемый размер: 262690 = lead(96)+sigs(248)+pad(0)+data(262346)
D: Фактический размер: 262690
alt-gpgkeys-0.7.118-alt1.src.rpm:
MD5 sum OK: 4d0a5101640c959f198373d884d0c74b
gpg: WARNING: unsafe ownership on homedir `/usr/lib/alt-gpgkeys'
gpg: Signature made Tue Jun 13 17:40:59 2017 MSK using DSA key ID AE4AE412
gpg: Good signature from "R. E. Gnimocni <incominger@>"
Смысл использовать в release что-либо сложнее MD5, если сами
пакеты верифицируются MD5 и PGP с ключом DSA/1024 (т.е., насколько
я понимаю, с использованием SHA-1) ?
--
С уважением,
Николай Фетисов
Подробная информация о списке рассылки Devel