В сообщении от 1112996932 секунд после начала Эпохи Unix Вы написали:
> А вообще-то подпись подделывается :)
Неужели? Можешь продемонстрировать? ;)
> Для того чтобы сравнить подпись, нужно во-первых подпись в пакете,
> а во-вторых нужна еще одна для сравнения она либо генерируется при
> помощи спец алгоритма (вес, версия и т.д.) либо подпись присутствует
> в системе, в Gentoo Примерно такая же система.
Похоже что ты совсем мало знаком с криптографией, и в частности с
программой GPG. Я вообще имел введу не просто контрольную сумму,
а сумму, которая зашифрована секретным ключом производителя, что
и называется цифровой подписью.
> Если есть желание можно
> кэши сравнивать от разработчика по алгоритму md5, тоже ничего
> сложного.
И не кеши, а хеши :) От hash function - функция, которая возвращает
ограниченное множество. Алгоритм MD5 - пример таковой. Или тут
имеется в виду кешь пакетов?
Незашифрованную контрольную сумму, которая содержится в самом пакете
(если формат позволяет) или поставляется отдельно вместе с ним, можно
подкорректировать должным образом после внесения изменений в сам
пакет, так что этого некто не заметит. А с зашифрованной не получится,
так как, зашифровывать ее нужно секретным ключом производителя, а
расшифровывать публичным. Имея только публичный ключ нельзя (или
очень трудно) зашифровать данные так, чтобы они правильно расшифровывались
этим публичным ключом.
> Не удевлюсь если emerge и это умеет, так как в основном
> Gentoo устанавливается по сети, нужно проверять цельность дошедшего
> пака.
И не только целостность но и достоверность.
> И вопрос :) У тебя так много знакомых диверсантов, которые готовы
> ломать сайты разработчиков, менять адресацию в сети и т.д... ;D
Я сам, когда под веселым настроением, годов этим заняться :) Ну,
бывает дурь в голову стукнет.