Charles-Henri d'Adhémar a écrit :
Oui, et quand on aura pensé au successeur il faudra aussi penser au successeur
du successeur... car entre l'épée et le bouclier c'est toujours l'épée qui
gagne... Tout ou tard tout code se casse !
Pour moi, et vous me direz si je me trompe, l'utilisation du MD5 dans nos
paquets n'est pas là pour certifier que le nbuild n'a pas été traficoté par
un voyou du net mais simplement pour indiquer si le téléchargement des
sources c'est bien passé et que quelques bits n'ont pas été perdu ici ou là,
ce qui pourrait avoir des conséquences inattendu sur le fonctionnement du
logiciel... ça ne garantie pas qu'une personne malintentionnée modifie le
nbuild en conséquence en trafiquant les sources et/ou le nbuild, c'est sûr.
Ok, effectivement, vu sous cet angle... Mais ca aurait été pratique si
ca avait pu aussi amener une couche "sécu" en + (car nasgaia en manque
cruellement)
Ceci étant, je pense que l'ami Rouge a bien raison de se préoccuper de ces
problèmes. On en avait un peu parlé à un moment, mais je relance le débat :
Que pensez-vous que Ncooker pack signe le paquet avec la signature gpg du
nbuilder ? Ncooker check lui vérifierait la signature (en ce connectant sur
un serveur ou en utilisant les signatures déjà importées). Techniquement
c'est rien à faire. Pratiquement c'est bien utile et on a une bonne garantie
de certification du paquet.
Ca pourrait etre une solution. Mais ca pause aussi un (petit) probleme.
Tout le monde sait que certains paquets sont out-datés, et un GUN
tripatouilleur pourrait vouloir modifier le nbuild pour s'installer la
dernière version. Avant, il suffisait de changer le numero de version,
et parfois (souvent) ca passait. Maintenant, il faut aussi changer le
champs MD5, ce qu'il peut faire aussi. Par contre, il ne pourra pas
re-signer son nbuild lui même... donc il faut, si on adopte la signature
de nbuild, ajouter une option a ncooker pour passer outre la signature
en cas de pepins.
Question : Est-il possible de définir une signature gpg partagée entre la team
de validation des nbuilds ? cad une seule signature pour toute l'équipe de
validation ?
Il y a plusieurs facons : - chaque personne de l'equipe de validation
recoit la paire de clef. La clef est de par ce fait compromise si l'une
des personne est compromise.
- chaque personne recoit une partie de la clef, et on a besoin de
tout le monde pour avoir la clef complete (basee sur un diffie-helman a
+ de 2 participants)
- se baser sur un truc genre Kerberos, qui signerait pour l'equipe.
Chaque membre de l'equipe aurait une paire de clef sur le kerberos.
++
Chicha
P.S : Rouge tu sais si gpg a été craqué ?
GPG, tout comme RSA, a des clefs "faibles", qui ont été écartées des
dernières versions du générateur de clefs. Il y avait aussi une
faiblesse (la même que PGP) au niveau du nombre total d'identifiants.
J'avais lu un truc sur une attauqe qui decoulait de ca, et j'en avait
conclu : oué, bien sûr, trop facile, et ma mère, c'est monica belluci !
