Vlákno názorů k článku
Debian musí dodávat reprodukovatelné balíčky od Krtek Prcá Ježka - Balíčky v linuxu nejsou opatřeny certifikátem ? Aha.

Balíčky v linuxu nejsou opatřeny certifikátem ? Aha.

Jakým certifikátem by balíčky měly být opatřeny? Co by takový certifikát potvrzoval? Jakou by to mělo mít souvislost se zdrojovými kódy, ze kterých byl balíček sestaven? Samé otázky.

Deb balicek je podpisany PGP klucom. Takze pokial nemas ten isty kluc, tak identicky balicek nevytvoris.

Mozes vytvorit balicek, ktory ma identicky obsah.. ak je splnenych mnoho inych podmienok. Co mam lahke pochyby, ze je bezne v debianiom build systeme. To, ze doteraz balicky neboli reprodukovatelne nebolo len tak z roztopase a toto rozhodnutie release timu mi pripada ako poroucime vetru, desti. Alebo maju prilist vela maintainerov a chcu sa ich zbavit, spolu s prislusnymi balickami ;).

Většina balíčků v Debianu je dávno reprodukovatelná, psal jsem o tom před více než deseti lety, kdy už se reprodukovatelnost pohybovala nad osmdesáti procenty a to ten projekt běžel teprve dva roky. Čili je to dlouhodobá a úspěšná věc, teď se to jen posouvá o krok dál a stává se z toho pro vývojáře povinnost.

Linux je jadro. Pokud se bavime o distribuci, konkretne o Debianu, o kterem byla puvodni zpravicka, pak pokud vim, tak se certifikaty a hashe normalne pouzivaji: https://www.debian.org/doc/manuals/securing-debian-manual/deb-pack-sign.en.html

Jak to ale souvisi s reprodukovatelnosti binarek, to nevim.

Tam se ale nepoužívají certifikáty, ale elektronické podpisy využívající pár veřejného a soukromého klíče. Certifikáty tam nehrají žádnou roli.

Diky za uvedeni na pravou miru.

Každý veřejný klíč je certifikát, protože je elektronicky podepsaný, aby se nedaly měnit obsažené identifikační údaje o majiteli.

Ne. Veřejný klíč je velké číslo, nic víc. Nejsou tam žádné identifikační údaje o majiteli, ani žádný podpis. Je to jen číslo.