Topic: Intérêt de signer les versions à télécharger
Bonjour,
J'ai pris l'habitude de signer mes versions avec ma clé PGP, comme c'est l'usage sur la plupart des projets, mais je m'interroge un peu sur l'utilité de la chose... (La question n'est pas spécifique à TuxFamily.)
Le but de la signature est de pouvoir vérifier l'authenticité d'une version.
On ajoute un fichier de signature à chaque version à télécharger, et on fournit, sur le site web, la clé PGP du ou des auteurs (soit directement le fichier, soit l'empreinte de la clé).
Le risque qu'on espère ainsi éviter, si j'ai bien compris, c'est que quelqu'un pirate le compte et dépose une fausse version.
Mais si quelqu'un pirate le compte, il a aussi accès au site web, donc il peut aussi modifier la clé ou changer l'empreinte sur le site. Et il peut ainsi signer sa propre version et fournir sa clé.
Du coup je ne comprends pas trop de quoi ça protège... Le seul cas où l'usurpation d'identité est détectée, c'est si on a déjà récupéré la clé pour une version précédente.