> Le rpm --checksig, ça devrait être fait systématiquement.
Oui. Mais pour le faire, il faut importer la clée.
> Dans ce cas, il faut forcément que les clefs MandrakeSoft official keys, et Linux Mandrake Security Team soient importées dès l'installation, sinon comment tu installes les logiciels ?
Le problème n'est pas là. Je peut créer une clée avec le nom "Linux Mandrake Security Team", faire des paquets signés, presser un CD et te le donner en disant que c'est Mandrake. Toi tu installes la distribution, vérifies les paquets avec rpm --checksig et tu n'y vois que du feu (du moins dans un premier temps). Donc l'utilisateur doit toujours contrôler la clée avant de l'importer/utiliser. Sinon la présence de la clée n'a aucune signification puisque je peux usurper l'identité de Mandrake.
[^] # Re: les clés, c'est compliqué !
Posté par ptit_tux . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 1.
> Le rpm --checksig, ça devrait être fait systématiquement.
Oui. Mais pour le faire, il faut importer la clée.
> Dans ce cas, il faut forcément que les clefs MandrakeSoft official keys, et Linux Mandrake Security Team soient importées dès l'installation, sinon comment tu installes les logiciels ?
Le problème n'est pas là. Je peut créer une clée avec le nom "Linux Mandrake Security Team", faire des paquets signés, presser un CD et te le donner en disant que c'est Mandrake. Toi tu installes la distribution, vérifies les paquets avec rpm --checksig et tu n'y vois que du feu (du moins dans un premier temps). Donc l'utilisateur doit toujours contrôler la clée avant de l'importer/utiliser. Sinon la présence de la clée n'a aucune signification puisque je peux usurper l'identité de Mandrake.