Re: Signature des paquets

[Raphael Hertzog <hertzog@debian.org>]

Le Sat, Nov 23, 2002 at 05:20:55AM +0100, Pierre THIERRY écrivait:
> Actuellement, les paquets des distributions officielles ne sont pas
> signés cryptoagrphiquement, j'aimerais savoir pourquoi...

Les paquets ne sont pas signés individuellement mais ils le sont d'une
manière globale.

Il y a sur les serveurs un fichier Release et Release.gpg. Le contenu du
fichier Release est donc "approuvé". Ce fichier contient la liste des
fichiers "Packages" et leur md5sum/taille afin de pouvoir s'assurer que
les fichiers Packages n'ont pas été modifiés depuis leur génération.
On peut donc raisonnablement faire confiance au contenu de ces fichiers
Packages ... or ces fichiers Packages contiennent la taille et la
md5sum des paquets Debian disponibles dans la distribution.

Il y a donc un moyen de vérifier que tous les paquets disponibles sont
bien ceux qui proviennent de chez Debian.

Au boulot ... :-)

Anthony Towns avait fait un script pour simplifier cette
vérification. Je n'ai pas d'URL sous la main, je laisse le soin à
d'autres de compléter. ;)

A+
-- 
Raphaël Hertzog -+- http://www.ouaza.com
Formation Linux et logiciel libre : http://www.logidee.com