Re: Debian 2.2 _ no BAD ?
On Fri, 1 Sep 2000, Max Kosmach wrote:
> On Thu, Aug 31, 2000 at 03:48:11PM +0500, Vlad Harchev wrote:
> > On 31 Aug 2000, Sergey Suleimanov wrote:
> >
> > > >>>>> "Vlad" == Vlad Harchev writes:
> > >
> > > Vlad> с помощью dpkg сделать) (или позволить запрашивать md5 пакетов
> > > Vlad> по инету и сравнивать их).
> > >
> > > А не достаточно подписать Packages?
> >
> > Как я понимаю, для проверки подписи надо знать публичный ключ подписавшего -
> > и он соответственно должен быть запрошен из инета (иначе если ключи - в файле
> > локально - то взломщик подпишет своим публичным ключем троянский пакет и
> > положит его в тот локальный файл,
> Как он его положитв файл на твоей машине без твоего участия? :)
Если бы они брались с того диска, откуда ставится дебиан, то хакеру можно
было бы их модифицировать (особенно если речь идет о iso-image).
плс
> > откуда его будет читать программа-установшик
> Из debian-keyring оно его должно брать или с сайта Debian
>
> With MBR
> Max
>
> PS. debian-keyring тоже подписать и проверять периодически и не апдейтить с
> неизвестных сайтов
>
Best regards,
-Vlad
Reply to: