On Fri, 1 Sep 2000, Max Kosmach wrote: > On Thu, Aug 31, 2000 at 03:48:11PM +0500, Vlad Harchev wrote: > > On 31 Aug 2000, Sergey Suleimanov wrote: > > > > > >>>>> "Vlad" == Vlad Harchev writes: > > > > > > Vlad> с помощью dpkg сделать) (или позволить запрашивать md5 пакетов > > > Vlad> по инету и сравнивать их). > > > > > > А не достаточно подписать Packages? > > > > Как я понимаю, для проверки подписи надо знать публичный ключ > > подписавшего - > > и он соответственно должен быть запрошен из инета (иначе если ключи - в > > файле > > локально - то взломщик подпишет своим публичным ключем троянский пакет и > > положит его в тот локальный файл, > Как он его положитв файл на твоей машине без твоего участия? :)
Если бы они брались с того диска, откуда ставится дебиан, то хакеру можно было бы их модифицировать (особенно если речь идет о iso-image). плс > > откуда его будет читать программа-установшик > Из debian-keyring оно его должно брать или с сайта Debian > > With MBR > Max > > PS. debian-keyring тоже подписать и проверять периодически и не апдейтить с > неизвестных сайтов > Best regards, -Vlad