From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00 autolearn=ham autolearn_force=no version=3.4.1 X-Virus-Scanned: amavisd-new at localhost Message-ID: <1497884785.4924.15.camel@naf.net.ru> From: "Nikolay A. Fetisov" To: ALT Linux Team development discussions Date: Mon, 19 Jun 2017 18:06:25 +0300 In-Reply-To: References: <20170619130241.GA10396@glebfm.cloud.tilaa.com> <1497881964.4924.13.camel@naf.net.ru> Content-Type: text/plain; charset="KOI8-R" X-Mailer: Evolution 3.24.23.24.2-alt1 Mime-Version: 1.0 Content-Transfer-Encoding: 8bit Subject: Re: [devel] repo: release X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 19 Jun 2017 15:07:02 -0000 Archived-At: List-Archive: List-Post: Здравствуйте! В Пн, 19/06/2017 в 17:31 +0300, Boris Savelev пишет: > 19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov > написал: > > .... > > > > > Дополнительный вопрос: 21 век, а в release _только_ md5... > > > > > доколе?) > > > > > > > > Будем надеяться, уже скоро. > > > > А чем он плох _в данном случае_? ... > > Ну... Как минимум на всякий случай. > https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA > 256 > Clients may not use the MD5Sum and SHA1 fields for security purposes, > and must require a SHA256 or a SHA512 field. Это в Debian'е и для их deb'ов. У нас же $ rpm --checksig -vv alt-gpgkeys-0.7.118-alt1.src.rpm D: Ожидаемый размер: 262690 = lead(96)+sigs(248)+pad(0)+data(262346) D: Фактический размер: 262690 alt-gpgkeys-0.7.118-alt1.src.rpm: MD5 sum OK: 4d0a5101640c959f198373d884d0c74b gpg: WARNING: unsafe ownership on homedir `/usr/lib/alt-gpgkeys' gpg: Signature made Tue Jun 13 17:40:59 2017 MSK using DSA key ID AE4AE412 gpg: Good signature from "R. E. Gnimocni " Смысл использовать в release что-либо сложнее MD5, если сами пакеты верифицируются MD5 и PGP с ключом DSA/1024 (т.е., насколько я понимаю, с использованием SHA-1) ? -- С уважением, Николай Фетисов