Задать вопрос
@kobrinartem

Чем отличается подписывание с помощью gpg-ключа репозитория и пакета в Debian или Ubuntu?

При подписывание репозитория при выполнение команды apt-get update требуется установка публичного ключа и логика зачем это нужно понятна. Но не совсем понятно что дает пописывание файлов .dsc и .changes. Я догадываюсь что это позволят точно идентифицировать мэйнтейнера. Но например, если я передподпишу с помощью своего ключа, где это вылезет? Что дает эта попись по сравнению еслибы ее небыло?
  • Вопрос задан
  • 2698 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
vsespb
@vsespb
А если юзер скачивает не бинарный пакет, а source пакет? - это как раз .dsc - сигнатура там нужна для того же для чего и в бинарном пакете - юзеру проверить его целостность.

source.changes файл, например, в Ubuntu PPA - закачивается на build сервер. в нём есть контрольная сумма .dsc и tar.gz. На билд сервере он билдится. Как же билд сервер узнает что закачал архив именно автор программы? По цифровой подписи. Потом билд сервер подпишет бинарный пакет своей цифровой подписью. Если бы подлинность source.changes проверялось чем-то менее секьюрным чем цифровая подпись - это было бы слабым звеном.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы