Re: Package van iemand anders bouwen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hi,
>>> Uiteraard zou ik een dergelijk package unsigned kunnen laten, of zelf
>>> signen. Ik weet echter niet wat het beste is.
>> -us -uc
>> of
>> -k<key-id>
>>
>> Zie man page van dpkg-buildpackage.
>
> Dat wist ik wel, maar het leek me niet netjes.
Voor eigen/lokale packages is dit prima, voor packages die publiek gaan
is het niet zo netjes/handig, je wilt immers zeker zijn dat de gebouwde
package "puur" is en dus gebouwd/ondertekend is door de persoon die
ontekend heeft. Het ondertekenen geeft de garantie van de identiteit.
>>> Als het buildd-systeem een package gaat bouwen, dan is daar toch ook
>>> geen secret key van die developper aanwezig?
>> Klopt, die tekent de nieuwe pakketten met z'n eigen key.
>
> Wanneer dan?
Na het bouwen en testen van de package ondertekend de Maintainer de .dsc en
.changes file, als deze gesigneerd zijn word de package geupload naar de
servers.
> Als ik de sources ophaal met "apt-get source <package>" dan krijg ik ook
> een foutmelding. Blijkbaar zit er dus wel een sign in een source package.
Man pgp , je zult de public key van de originele maintainer moeten
importeren om zeker te zijn dat de package/file juist zijn ondertekend.
Groet,
Martijn van Brummelen
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkr3+pUACgkQ4yGTtsQpvi8plwCfVfkQ8Yc2cL2DeYX3dfXe+Wcc
IeEAnRMCjMcMB3uoRCgVuaGgp89FHR6W
=WSK6
-----END PGP SIGNATURE-----
Reply to: