-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi, >>> Uiteraard zou ik een dergelijk package unsigned kunnen laten, of zelf >>> signen. Ik weet echter niet wat het beste is. >> -us -uc >> of >> -k<key-id> >> >> Zie man page van dpkg-buildpackage. > > Dat wist ik wel, maar het leek me niet netjes. Voor eigen/lokale packages is dit prima, voor packages die publiek gaan is het niet zo netjes/handig, je wilt immers zeker zijn dat de gebouwde package "puur" is en dus gebouwd/ondertekend is door de persoon die ontekend heeft. Het ondertekenen geeft de garantie van de identiteit.
>>> Als het buildd-systeem een package gaat bouwen, dan is daar toch ook >>> geen secret key van die developper aanwezig? >> Klopt, die tekent de nieuwe pakketten met z'n eigen key. > > Wanneer dan? Na het bouwen en testen van de package ondertekend de Maintainer de .dsc en .changes file, als deze gesigneerd zijn word de package geupload naar de servers. > Als ik de sources ophaal met "apt-get source <package>" dan krijg ik ook > een foutmelding. Blijkbaar zit er dus wel een sign in een source package. Man pgp , je zult de public key van de originele maintainer moeten importeren om zeker te zijn dat de package/file juist zijn ondertekend. Groet, Martijn van Brummelen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkr3+pUACgkQ4yGTtsQpvi8plwCfVfkQ8Yc2cL2DeYX3dfXe+Wcc IeEAnRMCjMcMB3uoRCgVuaGgp89FHR6W =WSK6 -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
