On Wed, Jun 25, 2003 at 05:20:19PM +0200, Erwan David wrote: > Le Wed 25/06/2003, Sven Luther disait > > On Wed, Jun 25, 2003 at 01:37:39PM +0200, Erwan David wrote: > > > Le Wed 25/06/2003, Sven Luther disait > > > > > > > > Je n'ai pas peur de .deb verole, car si je n'utilise que des packages > > > > officiels, je n'ai en general pas de crainte a avoir, a moins que > > > > quelqu'un se mette entre moi et mon mirroir debian et se fasse passer > > > > pour lui, ou que les archives debian ou le miroir soit compromis, ce que > > > > je pense etre assez peut probable, et rentrerai peut etre plus dans la > > > > categories des attaques UNIX classiques que dans celle des virus. > > > > > > Disons que la signature des paquets + le debian keyring, si correctement > > > utilisés (mais correctement utiliser la crypto c'est pas évident du > > > tout) peuvent être une bonne protection contre ce genre de menace. > > > > Oui, sauf que les packages eux meme ne sont pas signe, uniquement le > > .changes, et que la verification est uniquement faite a l'entree des > > packages dans l'archive, pour le moment du moins. > > ce serait amha une piste à étudier, les problèmes étant > 1) les paquets non officiels > 2) la gestion des clés > 3) le debian-keyring initial.
C'est deja en cours, et ne demande qu'un peu de temps. Il a deja fallu patcher dpkg et apt pour qu'il fasse le test, et je sais que certaines personnes utilisent deja des packages signe. Amicalement, Sven Luther
