[sisyphus] о подписях пакетов

[Dmitry V. Levin]

On Mon, Jan 07, 2008 at 09:49:32PM +0600, Slava Semushin wrote:
> 07.01.08, Egor Vyscrebentsov<evyscr / murom.net> написал(а):
> [...]
> > > Если вы найдёте такой (неподписанный, и соответственно не отмеченный
> > > логотипом) пакет _в Сизифе или в бранче_, срочно пишите об этом.
> 
> По идее такого быть не должно, если я тебя правильно понял.
> 
> > А можно это куда-нибудь в районе [хотя бы] wiki.sisyphus.ru с подробным
> > объяснением (что данный факт означает) и списком действий? Или уже есть?
> 
> Все пакеты, которые распространяются с дистрибутивом должны быть
> подписаны мэйнтейнерами этих пакетов. В Сизифе и Бранче неподписанных
> пакетов (по идее) быть не должно.

Мантейнерами обычно подписаны исходные пакеты.  Бинарные пакеты
подписываются теми, кто отвечает за автоматическую сборку пакетов,
приходящих в incoming.  Возможно, в репозитории ещё сохранились бинарные
пакеты, подписанные мантейнерами до автоматизации incoming'а.

> (Насколько понимаю, это похоже на некий assert() :) )
> 
> Если на диске с АЛЬТ Линуксом нашлись неподписанные пакеты, то это
> скорее всего означает что кто-то положил/заменил оригинальные пакеты
> на свои собственные сборки. Это может быть ваш друг-админ сам закрыл
> какую-то багу и выпустил свою обновлённую версию пакета, а может быть
> злоумышленник засунул бэкдор в какой-то пакет.
> 
> (Поправьте меня, если я ошибаюсь.)

Либо ключ, которым подписан пакет, устарел.  В этой ситуации подпись тоже
может оказаться непроверяемой.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: отсутствует
Url     : http://lists.altlinux.org/pipermail/sisyphus/attachments/20080108/af2ab48e/attachment.bin