On Saturday 16 February 2008 09:11:22 Daniel Dawid Majewski wrote: > Pewnego dnia wpadła wieść od Elan Ruusamäe i powiedziała : > > th packages are being signed right now, and hopefully all updates too in > > the future. > > you can grab the key from here: > > ftp://ftp.pld-linux.org/dists/th/PLD-3.0-Th-GPG-key.asc > > Czy to jest możliwe, aby sobie takie rzeczy poldek zasysał sam przy > poldek --up/--upa ? > Does it possible to include key import in poldek by poldek --up/--upa ?
Witam, To jest trochę bez sensu. Klucz nie powinien być przesyłany tą samą drogą którą są przesyłane dane. Obecnie podpis daje złudne poczucie bezpieczeństwa - jeżeli komuś uda się podrzucić mi "oszukane" pakiety (na przykład podszywając się pod domenę pld-linux.org), to równie łatwo może mi podrzucić własny klucz i poldek się nie zorientuje, że instalowane pakiety nie pochodzą z PLD. Może rozwiązaniem byłoby uzyskać podpis cacert.org na kluczu? -- Pozdrawiam, Paweł Zuzelski _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
