Re: [Newbie] Bonjour et quelques questions.
On Wed, Jun 25, 2003 at 05:20:19PM +0200, Erwan David wrote:
> Le Wed 25/06/2003, Sven Luther disait
> > On Wed, Jun 25, 2003 at 01:37:39PM +0200, Erwan David wrote:
> > > Le Wed 25/06/2003, Sven Luther disait
> > > >
> > > > Je n'ai pas peur de .deb verole, car si je n'utilise que des packages
> > > > officiels, je n'ai en general pas de crainte a avoir, a moins que
> > > > quelqu'un se mette entre moi et mon mirroir debian et se fasse passer
> > > > pour lui, ou que les archives debian ou le miroir soit compromis, ce que
> > > > je pense etre assez peut probable, et rentrerai peut etre plus dans la
> > > > categories des attaques UNIX classiques que dans celle des virus.
> > >
> > > Disons que la signature des paquets + le debian keyring, si correctement
> > > utilisés (mais correctement utiliser la crypto c'est pas évident du
> > > tout) peuvent être une bonne protection contre ce genre de menace.
> >
> > Oui, sauf que les packages eux meme ne sont pas signe, uniquement le
> > .changes, et que la verification est uniquement faite a l'entree des
> > packages dans l'archive, pour le moment du moins.
>
> ce serait amha une piste à étudier, les problèmes étant
> 1) les paquets non officiels
> 2) la gestion des clés
> 3) le debian-keyring initial.
C'est deja en cours, et ne demande qu'un peu de temps. Il a deja fallu
patcher dpkg et apt pour qu'il fasse le test, et je sais que certaines
personnes utilisent deja des packages signe.
Amicalement,
Sven Luther
Reply to: