On Thu, Aug 31, 2000 at 03:48:11PM +0500, Vlad Harchev wrote: > On 31 Aug 2000, Sergey Suleimanov wrote: > > > >>>>> "Vlad" == Vlad Harchev writes: > > > > Vlad> с помощью dpkg сделать) (или позволить запрашивать md5 пакетов > > Vlad> по инету и сравнивать их). > > > > А не достаточно подписать Packages? > > Как я понимаю, для проверки подписи надо знать публичный ключ подписавшего - > и он соответственно должен быть запрошен из инета (иначе если ключи - в файле > локально - то взломщик подпишет своим публичным ключем троянский пакет и > положит его в тот локальный файл, Как он его положитв файл на твоей машине без твоего участия? :)
> откуда его будет читать программа-установшик Из debian-keyring оно его должно брать или с сайта Debian With MBR Max PS. debian-keyring тоже подписать и проверять периодически и не апдейтить с неизвестных сайтов