Vlákno názorů k článku
PyPI odstraňuje podporu podepisování pomocí PGP od Michal Kubeček - Asi 30 % těchto klíčů nebylo možné vůbec...

Asi 30 % těchto klíčů nebylo možné vůbec najít na veřejných keyserverech, takže bylo obtížné nebo nemožné tyto podpisy smysluplně ověřit.

Tradiční veřejné keyservery jsou sice v současné době opravdu v krizi, ale nejsou zdaleka jediným použitelným zdrojem. Poslední dobou třeba veřejné klíče získávám častěji z Githubu nebo gitového repozitáře kernel.org.

Takovy zpusob ovsem narazi na to, ze verejny klic ziskavate na stejnem miste jako kod, ktery muze byt potencialne nezadoucim zpusobem modifikovany :-) Takze kdyz takove uloziste utocnik kompromituje, rovnou si tam krome modifikovaneho kodu vystavi novy verejny klic, ze?

U kernel.org ne, protože jde o samostatný repozitář, takže potenciální útočník by musel (a) mít přistup k původnímu tajnému klíči (a pak by pro něj bylo praktičtější podepsat to rovnou jím), (b) kompromitovat účet Konstantina Ryabitseva nebo (c) kompromitovat rovnou git.kernel.org. Navíc se tu dbá i na to, aby měly všechny klíče dost ověřitelných podpisů.

Na Githubu je to do značné míry pravda, i když taky ne úplně (často API Githubu používám jako zdroj klíčů k podpisům, ke kterým jsem přišel jinde). Ale ani pak na tom z principu nejsem hůř, než když si ten klíč stáhnu z nějakého veřejného keyserveru. (Když je podepsaný někým, komu věřím, je jedno, kde jsem k němu přišel. Když ne, i tak je pořád těžší dostat ho na ten Github.)