Re: Debian 2.2 _ no BAD ?
On 31 Aug 2000, Sergey Suleimanov wrote:
> >>>>> "Vlad" == Vlad Harchev writes:
>
> >> А не достаточно подписать Packages?
>
> Vlad> Как я понимаю, для проверки подписи надо знать публичный ключ
> Vlad> подписавшего - и он соответственно должен быть запрошен из инета
> Vlad> (иначе если ключи - в файле локально - то взломщик подпишет
> Vlad> своим публичным ключем троянский пакет и положит его в тот
> Vlad> локальный файл, откуда его будет читать программа-установшик
> Vlad> - по крайне мере так можно затроянивать iso-images).
>
> Оставлять проблему достоверности ключа на совести cd-vendor.
Одно дело - CD-vendor, а другое - сайт на котором лежит iso-image. У
CD-вендора совесть может быть чиста (он не проверял достоверность ключей,
но и не ложил коней), а содержимое может быть "с конями" из-за хакнутого
сайта-источника.
> А как иначе ставиться с cd-rom? Не факт что и base2_2.tgz там
> лежит оригинальный, а не с переделанным dpkg.
В принципе, конечно сначала надо проверить пакеты на сидюке, прежде чем
ставить (наверно, любой не устаревший dpkg сойдет). Хотя в случае, когда все
пакеты проверены (и все ОК) в пределах небольшой сети можно ставить с компакта
"не проверяя" (и весь этот тред - никчемный :).
> --
> Sergey Suleimanov
>
Best regards,
-Vlad
Reply to: