Le 02.11.2005 10:11:38, Georges Roux a écrit :
Je suis abonné aux annonces de Debian Testing Security, bref je reçoit un mail signé de joeyh@debian.org au sujet de la config d´apt qui me demande d´executer une commande root pour ajouter sa clé aux clés reconnu par apt. voila la ligne demandée: wget http://secure-testing.debian.net/ziyi-2005-7.asc -O - | sudo apt-key add - <mode parano on> Pourquoi devrais je executer une ligne wget, si la cle est bien de Debian, ne devrait elle pas faire parti du paquet qui vas bien? ce cannal n'est pas habituel. Apparement la signature est validée par enigmail/gpg par contre elle n'est pas trusted. Comment valider que ce joeyh fait bien parti de Debian Security? Doit on forcement croire au mail de Debian Security? vu que des serveurs debian ont déjá été compromis par le passé.
- Rencontrer la personne, lui payer une bière et noter sa clé sur un papier. - Vous faire accompagner lors de cette rencontre de personnes qui le connaisse personnellement. - En fin de rencontre apprendre la clé par coeur et éliminer la personne.
</mode parano off> Georges
Jean-Luc
Attachment:
pgptPYLdbzJDE.pgp
Description: PGP signature