Задать вопрос
@kobrinartem
ubuntu

Чем отличается подписывание с помощью gpg-ключа репозитория и пакета в Debian или Ubuntu?

При подписывание репозитория при выполнение команды apt-get update требуется установка публичного ключа и логика зачем это нужно понятна. Но не совсем понятно что дает пописывание файлов .dsc и .changes. Я догадываюсь что это позволят точно идентифицировать мэйнтейнера. Но например, если я передподпишу с помощью своего ключа, где это вылезет? Что дает эта попись по сравнению еслибы ее небыло?
  • Вопрос задан
  • 2696 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
vsespb
@vsespb
А если юзер скачивает не бинарный пакет, а source пакет? - это как раз .dsc - сигнатура там нужна для того же для чего и в бинарном пакете - юзеру проверить его целостность.

source.changes файл, например, в Ubuntu PPA - закачивается на build сервер. в нём есть контрольная сумма .dsc и tar.gz. На билд сервере он билдится. Как же билд сервер узнает что закачал архив именно автор программы? По цифровой подписи. Потом билд сервер подпишет бинарный пакет своей цифровой подписью. Если бы подлинность source.changes проверялось чем-то менее секьюрным чем цифровая подпись - это было бы слабым звеном.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
DevOps-инженер/SRE-инженер
FS Travel Москва
от 260 000 ₽
Middle Fullstack Developer (Laravel + Vue.js) (Contractor, Remote)
Hicaliber
от 2 500 до 3 800 $
Ведущий администратор средств защиты информации
FS Travel Москва
от 195 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Создать бекенд сайта по готовому дизайну и верстке (писать на laravel)
07 мая 2024, в 02:39
100000 руб./за проект
Cоздание мобильного приложения (обновленное объявление)
07 мая 2024, в 01:11
90000 руб./за проект
Скопировать дизайн со скриншотов с небольшими правками в figma
06 мая 2024, в 21:43
1500 руб./за проект
Ещё заказы