>> Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…
>
>Взлом центра -> подмена ключей -> замена исходников жертвы -> обнаружение взлома центра -> восстановление из бэкапа -> .......
>Много за это время успеют скачать затрояненый дистриб? Не-не-не. В центре ведь не исходники хранятся, а ключи. Поэтому взламывать надо центр + место хранения исходников. Да, задача более сложная, но лишь сложность возрастает по времени, причём линейно. Схема такая получается: взломали центр, вытащили закрытые ключи для подписи исходников, подменили исходники, подменили контрольную сумму в центре. В итоге чухнутся всё тогда же — когда кто-то сравнит контрольные суммы имеющихся файлов на разных системах.
В общем, было бы желание. :)
>[оверквотинг удален]
> - Запрос на внесение в базу новой версии дистриба.
> * Проверка записей авторов, подписей, открытого ключа.
> * Разрешение о приёме исходников. Передача разового ключа шифрования.
> - Шифрование и передача исходников.
> * Генерация контрольных сумм.
> * Запрос у мантэйнера дистриба, по зарегистрированному ранее адресу ключа
>шифрования.
> - Передача ключа шифрования.
> * Возврат ссылки на подпись в базе SCOSS.
> - Размещение ссылки на сайте дистриба.
Хм. А не проще на шаге 4 шифровать и передавать уже подписанный автором исходник, не? Он верифицируется в центре и не надо гонять закрытый ключик.
>----------------
>Прое...ут ключи - в черный список, - за безответственное отношение к безопасности
>планеты!
>Взломали сайт- в черный список - как чайнег недостойный звания OSS-программер.
>
>
>
>PHP программеры уйдут в полный андеграунд :)
*злобно улыбнулся и потёр ручки*
