[software-liber] Re: FlossCamp: keysigning party?

Andrei Popescu andreimpopescu la gmail.com
Lun Mai 4 12:44:24 EEST 2009


On Mon,04.May.09, 12:19:10, Jani Monoses wrote:
> >
> >
> > Deși ne-am întâlnit în persoană la FLOSSCamp 2008, eu aș putea fi un
> > spion angajat la MS. Cum puteți garanta că mă cheamă într-adevăr Andrei
> > Popescu? :)
> >
> 
> Exact. Deci puteai avea cu usurinta un buletin fals. De aceea consider ca nu
> identitatea
> ci faptele de pana acum conteaza mai mult la o persoana. 

Și cum poți știi că faptele (commit, mesaj e-mail, pachet) provin de la 
aceiași persoană dacă nu se folosește un minim de autentificare?

> Da, exista riscul unei surprize
> dar nu e mai mica decat in orice alt aspect al vietii :)

Nu sunt așa de sigur. Pe unul dintre conturi primeam o grămadă de 
spamuri „de la mine”. Falsificarea expeditorului la email nu este foarte 
dificilă din câte am înțeles.

> Pentru proiecte colaborative FOSS unde nu e problema ca se fura codul sursa,
> riscul
> de a creea daune serioase e mic.

Aici daunele nu se fac prin furt de cod ci prin inserarea de cod 
malițios, iar dacă distribui numai cod atunci acesta poate fi verificat 
(cel puțin în teorie). Alta e situația când distribui binare, de aceea 
toate distribuțiile au implementat mecanisme de autentificare a 
pachetelor.

> Deci semnez evident pachetele deb cu cheie

Dar ești convins de necesitatea acestui pas sau faci asta doar pentru că 
e o cerința Ubuntu?

> dar efortul de a inflitra un spion si a cladi o identitate falsa
> e mai mare decat a incerca sa crackezi masina cuiva si sa iei cheile 
> private sau alte metode de atac clasice.

De ce să te complici, dacă ești în stare să crackezi o mașină a unui 
dezvoltator mai bine crackezi direct serverul, sau nu?

Salutări,
Andrei
-- 
Dacă aveți probleme cu afișarea diacriticelor trebuie să vă actualizați
fonturile. Vedeți http://wiki.debian.org/L10N/Romanian/Lenny/Notes pentru
mai multe detalii.
-------------- partea urmtoare --------------
Un ataşament non-text a fost şters...
Nume: indisponibil(ă)
Tip: application/pgp-signature
Mărime: 197 octeţi
Desc: Digital signature
Url : http://liste.softwareliber.ro/pipermail/gsl/attachments/20090504/65d75069/attachment.pgp 


More information about the GSL mailing list