On Tue, 18 Dec 2001 15:07:02 -0200 Antonio Augusto de Cintra Batista <[EMAIL PROTECTED]> wrote:
> Eu creio ser este o caminho, porque exigir de cada desenvolvedor que > assine seu pacote com PGP é algo que tenho certeza que *não* irá > funcionar: eu mesmo, em 1998, trabalhando no NOC central de uma rede eu acho que você está enganado aqui, todo desenvolvedor já assina dois dos arquivos que compõe um "upload", chamemos assim, com sua chave pgp um que identifica o pacote fonte e outro que identifica o todo e sem essas assinaturas o pacote não entra no servidor Debian... > faltando garantir a autenticidade de quem fez upload do pacote, mas > isto pode ser inferido do login via ssh, e a experiência mostra que > até dá para confiar no zelo com que os desenvolvedores guardam sua > senha de login. Há ainda o problema de garantir a autenticidade das ou seja, essa questão acima já está resolvida... mesmo porque a maioria de nós raramente usa sua senha de login, o esquema de autenticação rsa do login por ssh é largamente usado... > Talvez eu esteja sendo simplista por não ter acompanhado as > discussões anteriores, mas não vejo dificuldade em se implementar > o descrito acima no curto-prazo. há, com certeza, muitas dificuldades para que isso seja implementado, mas não é nada que não possa ser resolvido a questão é que há de ser feito algo sólido o suficiente para realmente dar certo... não pode ser uma solução quebra-galho, muito menos pode ser uma coisa centrada em i386 ou em um único ponto de falha... deve existir uma política muito bem definida para que isso dê certo, porque isso envolve o "core", por assim dizer, do Debian, que não pode ser desestabilizado []s! -- Gustavo Noronha Silva - kov <http://www.metainfo.org/kov> *---------* -+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+-+ | .''`. | Debian GNU/Linux: <http://www.debian.org> | | : :' : + Debian BR.......: <http://debian-br.cipsga.org.br>+ | `. `'` + Q: "Why did the chicken cross the road?" + | `- | A: "Upstream's decision." -- hmh | *---------* -+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+-+