On Tue, 24 Oct 2006 17:51:25 +0400 "Dmitry E. Oboukhov" <[EMAIL PROTECTED]> wrote:
> >> Ага. DSA почитывать полезно. Хакают там периодически то один > >> сервер, то другой. Бывает. > > Ну если серьезно хакнут, то есть вероятность, что и Release.pgp > > подделают. Пока же ни разу за последние 5 лет файловый архив взломы > > не затрагивали (если DSA верить). > зеркала по определению должны уметь работать оффлайн (например > дисковый дистрибутив), следовательно все что необходимо для их > проверки либо в оффлайне должно отключаться либо содержаться в самих > же зеркалах. проверка я так понял ведется по файлам Release.gpg, а их > я так понял можно заменить. > > $ find -name Release.gpg|wc -l > 13 > > смысл всех этих подписей pgp/pgp в чем вообще? Смысл есть: аутентификация того, кто послал сообщение и integity (целостность данных). То есть по открытому pgp ключу ты можешь проверить подпись и удостовериться, действительно ли отправитель тот за кого он себя выдает (autentication) и не было или сообщение изменено после того как была поставленна подпись (integrity). > > если можно перехватить контент в пути к клиенту, то от чего бы не > перехватить тем же методом ключ для проверки подписи? Ключ для проверки подписи перехватывать не надо, это открытый и для всех доступный ключ. Алекс >