On Mon, 17 Dec 2001, Antonio Augusto de Cintra Batista wrote: > até este seu email, mas apesar de me sentir constrangido creio que
eh? Não deveria se sentir constrangido. Se eu espalhei desinformação, vai ser constrangedor pra mim... (bom, os erros estúpidos de português na minha mensagem eu já considero constrangedores o suficiente, mas deixa isso pra lá). > atirar tão levianamente assim sem medir as consequências que a > desinformação traz quando lançada aos ventos. A situação está longe de ser perfeita, mas não é tão ruim quanto pode parecer (pacotes trojanados entrando no Debian desde a fonte, contaminando tudo desde a ftp-master até as máquinas dos developers e usuários). Era mostrar isso (pra evitar excesso de pânico) o objetivo da minha email. Acho que o seu comentário sobre "até dos principais mantenedores" me deixou meio preocupado demais. No processo, eu dei pouca ênfase ao problema de proxy. Assumo a culpa disso, mas esse problema possui solução (MUITO inconveniente) no momento (a qual descrevi), e uma solução aceitávelmente desconfortável está a caminho (developers assinarem todas as .debs), com um bandaid confortável de quebra (apt e repositórios assinados). O problema de PKI com as assinaturas é real, e sim, a web-of-trust é parte da solução completa e definitiva. Mas a redundância da informação presente no Debian keyring (você consegue cópias das chaves dos developers de quase todos os keyservers porque as chaves estão em circulação faz um bom tempo para a maioria dos developers), e um programa de grafos para encontrar caminhos validados (cadê o AT&T Pathserver quando se precisa dele?) ajuda a resolver o problema por enquanto. Fica bem fácil encontrar chaves que não dá pra confiar de jeito nenhum usando grafos, e chaves que apesar de você não ter caminho direto para validar, são quase garantidamente válidas, pelo grande número de caminhos longos e curtos que as validam apartir de outros pontos da web-of-trust. Quanto a decisão de não consertar o problema na Woody, ela só pode ser revogada pelo Release Manager no momento, pois o sistema base já foi congelado. E o pessoal diretamente responsável pelo apt, da-katie e dpkg concordou bem antes que não iria dar para ter tudo funcionando em tempo para a Woody (ou se não concordou, não se fez nada de concreto para mudar a situação, nem por parte deles, nem por parte de outros desenvolvedores). Quem sabe para a 3.0r2 (Woody, revisão 2) dê para por o bandaid. > meu primeiro email, por favor leia antes o archive deste mês > da lista debian-security, e daí me avise quando tiver terminado Aquela thread não tem nem de perto toda a discursão à respeito. Nem tocou no problema dos auto-builders, nem no problema da chave secreta desprotegida que vai ser necessária pra da-katie e é o pesadelo do sistema (movemos pacotes demais por dia na unstable pra fazer isso manualmente sem deixar os ftpmasters malucos, mas talvez nesse ponto a solução bandaid possa ajudar)... já passou muita água por baixo dessa ponte. Ah, espera. Esse é o lado das assinaturas nos .deb propriamente ditos (verificada pelo dpkg, apt nem entra no processo), não a solução bandaid via apt (repositório com md5-sum assinadas, que é interessante, segura do ponto de vista do usuário, mas não atinge todos os casos, pelo menos não pra developers, nem para quem precisa usar repositórios apt que não são do Debian). Acho que achei o motivo pelo qual você me acusou de espalhar desinformação... eu desconsiderei o bandaid a maior parte do tempo, e não deixei claro do que estava falando. E eu tenho quase certeza que a solução bandaid não está completamente implementada (exceto no apt da Conectiva). Culpa minha, não deixei claro que haviam dois caminhos paralelos de autenticação (um autentica o pacote propriamente dito, o outro o caminho que ele fez desde o repositório ftp-master). O caminho via dpkg está completo e funcional, se eu quisesse, poderia passar a assinar todas as .debs que empacoto apartir de agora, e um usuário poderia mandar o dpkg rejeitar todas as debs não assinadas. Funciona tão bem, que teve um dia na unstable que se você instalasse o dpkg, ele passava a rejeitar todos os pacotes reclamando que eles não estavam assinados... > para que não perca meu tempo quando eu responder ao seu email > apontando as devidas correções (ou aponte-as você mesmo, por > favor!). Faltou alguma? Eu deixei um bocado de coisa implícita, concentrado como estava, querendo mostrar que a situação é um pouco menos grave do que pode parecer a princípio (temos alguns meios, por mais cretinos e doloridos que sejam, de verificar se as debs foram modificadas ou não). Quanto à força-tarefa, bom, se quiser ajudar com o lado do apt, tem algum código a ser escrito, e pouca infro-estrutura a ser especificada. Afinal de contas, é só uma chave que assina um Packages.gz para tomar conta... ao contrário das assinaturas nas .deb propriamente ditas. Mas o mais útil seria trabalhar na infra-estrutura necessária para assinaturas nos pacotes, e integradas no Debian. -- "One disk to rule them all, One disk to find them. One disk to bring them all and in the darkness grind them. In the Land of Redmond where the shadows lie." -- The Silicon Valley Tarot Henrique Holschuh
