On 31 Aug 2000, Sergey Suleimanov wrote: > >>>>> "Vlad" == Vlad Harchev writes: > > >> А не достаточно подписать Packages? > > Vlad> Как я понимаю, для проверки подписи надо знать публичный ключ > Vlad> подписавшего - и он соответственно должен быть запрошен из инета > Vlad> (иначе если ключи - в файле локально - то взломщик подпишет > Vlad> своим публичным ключем троянский пакет и положит его в тот > Vlad> локальный файл, откуда его будет читать программа-установшик > Vlad> - по крайне мере так можно затроянивать iso-images). > > Оставлять проблему достоверности ключа на совести cd-vendor.
Одно дело - CD-vendor, а другое - сайт на котором лежит iso-image. У CD-вендора совесть может быть чиста (он не проверял достоверность ключей, но и не ложил коней), а содержимое может быть "с конями" из-за хакнутого сайта-источника. > А как иначе ставиться с cd-rom? Не факт что и base2_2.tgz там > лежит оригинальный, а не с переделанным dpkg. В принципе, конечно сначала надо проверить пакеты на сидюке, прежде чем ставить (наверно, любой не устаревший dpkg сойдет). Хотя в случае, когда все пакеты проверены (и все ОК) в пределах небольшой сети можно ставить с компакта "не проверяя" (и весь этот тред - никчемный :). > -- > Sergey Suleimanov > Best regards, -Vlad
