[devel] Fwd: [sisyphus] Новая версия GnuPG в Сизифе

Andrey Savchenko bircoph на altlinux.org
Сб Окт 19 07:20:31 MSK 2019 

On Sat, 19 Oct 2019 01:37:53 +0300 Vladimir D. Seleznev wrote:
> On Sat, Oct 19, 2019 at 01:02:52AM +0300, Paul Wolneykien wrote:
> > >> [skip]
> > >>
> > > Нет, ты не понял: ты не можешь исправить зависимости на _уже_
> > > установленных системах у всех пользователей. Поэтому гораздо проще и
> > > предсказуемее оставить /usr/bin/gpg за первым gnupg, а переводить те
> > > пакеты, которым нужен gnupg2, на /usr/bin/gpg2.
> > > 
> > >>> Ты не можешь исправить у всех пользователей на всех уже
> > >>> установленных системах /usr/bin/gpg на /usr/bin/gpg1, 
> > >>
> > >>   Почему? При обновлении новая версия пакета gnupg2 установит
> > >> /usr/bin/gpg, а новая версия gnupg установит /usr/bin/gpg1 — файловых
> > >> конфликтов между ними не будет так же, как их нет сейчас. Само собой,
> > >> если система не обновляется, то все эти "переименования" её не затронут.
> > > 
> > > И это сломает уже установленные пакеты, которые рассчитывают, что
> > > /usr/bin/gpg — это первый gnupg.
> > 
> >   Объясни же наконец, почему уже установленные пакеты не будут обновляться?
> 
> Потому что речь идёт про точечные обновления.
 
Насколько я помню, в sisyphus мы поддерживаем только dist-upgrade.
Если кто-то держит у себя sisyphus годовой давности и делает лишь
точечные обновления, то проблем будем много больше, чем с gnupg.

Думаю, реальная причина этого спора в том, что у нас часть людей
будет рогами упираться до последнего, но использовать gnupg1.

Между прочим, я ещё полтора года назад на своей системе зафорсил
симлинк gpg -> /usr/bin/gpg2 (сделано это через /usr/local/bin,
который в PATH прописан приоритетнее путей без local), потому что
меня достало перенастраивать все приложения. Всё прекрасно работает
с gpg как gpg2. Так что все разговоры о том, как поломаются бедные
несчастные пакеты, ожидающие gpg1 — это пустословие. Поломаться
могут только наши собственные скрипты а-ля girar, но это легко
исправить.

gpg1 уязвим к ряду атак (keyring poisioning, например) и не
понимает современные ключи (ed25519, rsa8192), так что его время
ушло и со временем пакет следует удалить из соображений обеспечения
безопасности и совместимости.

Best regards,
Andrew Savchenko
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 833 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20191019/11be68ae/attachment.bin>

Подробная информация о списке рассылки Devel