Sécurité : Signer les paquets tazpkg

[ Thread Index | Date Index | More lists.tuxfamily.org/slitaz Archives ]


Bonjour,

Par envie personnelle, je me suis penché sur tazwok et tazpkg pour voir s'il était possible d'inclure une protection supplémentaire basée sur GPG et inspirée des paquets .deb de Debian.

Étant un débutant en script shell, GPG et n'ayant jamais regardé encore le code des deux utilitaires de SliTaz, je me permets de partager mes résultats, peut-être trouverez vous l'idée interessante, vous pourriez ainsi m'aider à la réaliser.

- tazwok : 
	Je ne fais que créer un fichier signé à partir du fichier md5sum. Ça me semblait le plus simple.

- tazpkg :
	J'ai vraiment eu du mal à trouver une solution efficace, j'ai tout d'abord essayé de modifier la fonction install_package(), mais impossible de comprendre quoi que ce soit aux sous-processus et à leur fonctionnement.
	Alors j'ai créée une fonction verify_signature qui s'inspire de install_package, créant un dossier temporaire, extrayant de l'archive les fichiers md5sum et md5sum.asc, vérifiant la signature. Selon le résultat de GPG : 0 = OK, on efface le dossier temporaire et on continue; 2 = Erreur, on efface le dossier temporaire et on sort du programme.

-- 
Mallory MOLLO <mallory@xxxxxxxxxxxxxxx>

Attachment: tazpkg.patch
Description: Binary data

Attachment: tazwok.patch
Description: Binary data



Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/