Bonjour,
Les clés de signature d'application (Code Signing Certificate il me
semble) sont payantes, mais il me semble avoir vu que certains
fournisseurs le font gratuitement pour les projets open source. Auquel
cas ce serait une signature « Bépo » ou « Ergodis », donc non
nominative.
De mémoire la validité n'excède pas 2 ans, donc pas de risque exagéré
qu'elle soit utilisée à d'autres fins.
Simon
--
Simon LEPRINCE
news@xxxxxxxxxxx
Le 4 avril 2019 09:48:02 GMT+02:00, Valentin Melot <valentin@xxxxxxxx>
a écrit :
Un certificat BÉPO serait détaché d'une personne physique, et encore
une fois je ne sais pas si c'est pertinent. En revanche, il est
possible d'être plusieurs à signer un même document, me semble-t-il.
Mais si l'on se contente de se signer les clefs les uns des autres +
faire un mail public, vu par chaque membre du collège qui a la
possibilité de dire qu'il n'est pas d'accord, pour annoncer la sortie,
ça engage virtuellement le collège en entier et non pas le seul
signataire (qui signe bien au nom d'Ergodis).
Miltøn
Le 4 avril 2019 09:41:22 GMT+02:00, "Garreau, Alexandre"
<galex-713@xxxxxxxxxxxx> a écrit :
Il me semble ici qu’on parle de la signature du binaire/installateur
Windows. Sous GNU/Linux c’est git (et les releases) qui sont signés
via
pgp par les devs, et les repos par les mainteneurs de paquets. Sous
Windows les installateurs le sont via X509, et peut y avoir une
chaîne
de confiance…
Ce serait possible de se créer un certificat bépo avec lequel on
signe
les clés d’autres gens qui tournent ?
L’idéal pour moi serait un système où plusieurs clés peuvent
s’alterner
et doivent signer en même temps pour qu’une signature/un changement
soit
considéré valable. Je ne pense pas que ça existe après, donc autant
s’inspirer de l’existant en attendant.
--
Pour ne plus recevoir les messages de cette liste de discussion,
envoyez un courriel avec pour destinataire
discussions-REQUEST@xxxxxxxxxxx et pour sujet "unsubscribe".