Abuse Melding

Je hebt een klacht over de onderstaande posting:

15-06-2010, 17:11 door Bert de Beveiliger

Door Bitwiper: Door AlexK: "Het package is niet veranderd sinds ik de download heb gestart."Nee, en veel belangrijker, "Het package is niet veranderd sinds de ondertekenaar het heeft ondertekend." da's waar. Nou maar hopen dat je de ondertekenaar kunt vertrouwen. En niet dat iemand een key heeft gegenereerd met een mailadres en ID van, zeg bijvoorbeeld, Red Hat. EDIT: Ik heb hierboven de url https://rhn.redhat.com/errata/RHSA-2008-0855.html gepost om aan te geven dat signing niets anders bewijst dan dat het package niet is veranderd in transit. Het backdoored OpenSSH (!) package van RH was signed met de echte RH key. Dat betekent - ofwel dat het een inside job was (waarmee je vertrouwen in RH meteen om zeep is) - ofwel dat iemand de passphrase van RH had geraden (onwaarschijnlijk) -ofwel dat iemand een mazzel met een collision attack had Security is denk ik voor 90 procent vertrouwen, voor 10 procent techneutische problematiek zoals deze backdoor. Signing zou dat moeten verbeteren, maar helaas.

Beschrijf je klacht (Optioneel):

captcha