Dmitry E. Oboukhov wrote: >>> Ага. DSA почитывать полезно. Хакают там периодически то один сервер, >>> то другой. Бывает. >> >>Ну если серьезно хакнут, то есть вероятность, что и Release.pgp >>подделают. Пока же ни разу за последние 5 лет файловый архив взломы не >>затрагивали (если DSA верить). > > зеркала по определению должны уметь работать оффлайн (например дисковый > дистрибутив), следовательно все что необходимо для их проверки либо в > оффлайне должно отключаться либо содержаться в самих же зеркалах. > проверка я так понял ведется по файлам Release.gpg, а их я так понял > можно заменить. > > $ find -name Release.gpg|wc -l > 13 > > смысл всех этих подписей pgp/pgp в чем вообще? > > если можно перехватить контент в пути к клиенту, то от чего бы не > перехватить тем же методом ключ для проверки подписи? У тебя _локально_ долже хранится открытый ключ (для нового апт это делается установкой пакета debian-keyring) На сервере всё подписано закрытым ключем. Перехватить можно. Подменить - нет.
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
