Re: умно почистить кэш
Dmitry E. Oboukhov wrote:
>>> Ага. DSA почитывать полезно. Хакают там периодически то один сервер,
>>> то другой. Бывает.
>>
>>Ну если серьезно хакнут, то есть вероятность, что и Release.pgp
>>подделают. Пока же ни разу за последние 5 лет файловый архив взломы не
>>затрагивали (если DSA верить).
>
> зеркала по определению должны уметь работать оффлайн (например дисковый
> дистрибутив), следовательно все что необходимо для их проверки либо в
> оффлайне должно отключаться либо содержаться в самих же зеркалах.
> проверка я так понял ведется по файлам Release.gpg, а их я так понял
> можно заменить.
>
> $ find -name Release.gpg|wc -l
> 13
>
> смысл всех этих подписей pgp/pgp в чем вообще?
>
> если можно перехватить контент в пути к клиенту, то от чего бы не
> перехватить тем же методом ключ для проверки подписи?
У тебя _локально_ долже хранится открытый ключ (для нового апт это
делается установкой пакета debian-keyring)
На сервере всё подписано закрытым ключем.
Перехватить можно. Подменить - нет.
Reply to: