D'ailleurs, si vous passez un texte signé correctement à GnuPG mais avec du texte hors balise, l'ensemble sera considéré comme signé, ce qui me semble être une faille dans la signature.
Je me souviens que ce genre de problème s'est posé sur la mailing-list d'Arch aussi. Je crois qu'il y a trois solutions à ce problème :
* Faire une signature extérieure. Problèmes : doublement du nombre de fichiers ; pas forcément possible si on veut plusieurs signatures dans un seul fichier.
* Gérer (virer) le texte externe avant de passer le reste à GnuPG. Problème : il faut écrire son propre parser de texte signé (alors que forcément, GnuPG en a déjà un) et il faut supporter les variations et éventuelles évolutions du format. Et puis plus de code égale plus de bugs.
* Ajouter une option à GnuPG pour qu'il signale la présence de texte externe. Problème : il faut écrire l'option et convaincre les auteurs de GnuPG (et attendre la prochaine version).
[^] # Re: Sortie de Subversion 1.0.0
Posté par Boa Treize (site web personnel) . En réponse à la dépêche Sortie de Subversion 1.0.0. Évalué à 3.
Je me souviens que ce genre de problème s'est posé sur la mailing-list d'Arch aussi. Je crois qu'il y a trois solutions à ce problème :
* Faire une signature extérieure. Problèmes : doublement du nombre de fichiers ; pas forcément possible si on veut plusieurs signatures dans un seul fichier.
* Gérer (virer) le texte externe avant de passer le reste à GnuPG. Problème : il faut écrire son propre parser de texte signé (alors que forcément, GnuPG en a déjà un) et il faut supporter les variations et éventuelles évolutions du format. Et puis plus de code égale plus de bugs.
* Ajouter une option à GnuPG pour qu'il signale la présence de texte externe. Problème : il faut écrire l'option et convaincre les auteurs de GnuPG (et attendre la prochaine version).