V Gentoo GPG podpisy experimentálně dobastlili taky cca 5 let zpátky, ale nakonec to do produkčního stadia nevedlo. Sice používali asi 4 hashovací funkce při kontrole checksumu ebuildu, což je sice relativně dobrá obrana proti prolomení jedné z nich, ale neudržuje identitu/pseudonymitu.

Ono je vlastně zajímavé, že problém distribuce klíčů nebyl za 20-30 let "neprůstřelně" vyrešen ani s PKI, ani s web-of-trust. Nicméně to vytváří podivný diskrétní graf, něco jako "spirálu" s několika cykly. Whitfield Diffie (myslím) řekl, že "kryptografii jsme vyřešili, teď je hard-problem distribuce klíčů". Ten hard-problem je "bootstrap" - jak vědět, že prvotní klíč patří správnému člověku?

Příklad: člověk si stáhne ISO image distribuce. Googlením ověří, že existují https stránky, které uvádějí checksumy. Jenže jak může vědět, že certifikáty dokazující identitu HTTPS stránky jsou správné? Protože jsou distribuovány třeba s Firefoxem. Jak ověří, že si stáhnul správnou binárku Firefoxe? .... pořád je to bootstrap problem. Vtipný a stručný popis co jsem viděl: "it's turtles all the way down; no 'magic' turtle present that would automagically finish the chain".

Nicméně, vzhledem k této podivné tranzitivní struktuře (jakkoliv je nedokonalá), je prakticky velmi těžké napadnout uživatele kontrolující checksumy, podpisy, ...

Vysoce doporučuji: myšlenku Petera Gutmanna "Continuity" - zkráceně ji lze popsat:

- důvěru a istotu v správnou identitu nelze vyjádřit "binárně" (jak to dělají současné implementace), je to "spojitá" funkce

- má server stejný klíč jako naposled? Jak dlouho?

- je ve stejném ASN jako naposled? Jak dlouho?

- ... (pár dalších drobností)

Napadlo mě to dávno nezávisle od Petera (a nebudu jediný). Otázka je, jak to rozumně kvantifikovat?

Zaručuji každému řešiteli nehynoucí slávu, pokud jeho/její řešení bude "(uživatelsky) rozumné", "výpočetně proveditelné" a "finančně/organizačně možné".

Částí řešení již nakóděny jsou, jde o to dát do dokupy. Odkaz na podrobnější popis Continuity: http://www.cs.auckland.ac.nz/~pgut001/pubs/book.pdf (odkaz na knihu, goto page 315), slady vysvětlující problém v zkratce: http://www.cs.auckland.ac.nz/~pgut001/pubs/prot_browser_users.pdf

OOo jsem kompiloval párkrát v Gentoo, pak mi přišlo jednodušší použít binární ebuild. Pořád trvám na tom, že KDE 4 je ještě větší moloch než OOo, to je tak na kompilaci přes noc i na Core 2 Duo Thunderbird a Firefox od verze kolem 8-9 taky "pěkně" narostly.

Mně procesor až tak často neidlí, dost často něco vyvíjím. Mít všechny jádra volné a skompilovat Tor za 23 sekund je příjemnější než se dělit o jádra s buildením systému.

Heh, to já používal cca. 2 roky* OpenBSD na "úžasném" stroji s Pentium 1 @ 85MHz a 32MB RAM.

Podotýkám, že téměř všechen SW jsem instaloval (kompiloval) přes porty.

Ale zase je pravda, že jsem nekompiloval "molochy" - používal jsem Fluxbox, Dillo a podobné programy.

*Poté jsem tam hodil Debian a udělal z toho kompu Samba + LAMP server; jelikož byl ten stroj docela hlučný a navíc to bylo fakt efektivní topení, nahradil jsem jej po roce "krabičkou" s OpenWrt.

Kompilace samotná až takový problém není, ale v počátečních dobách KDE 4 jsem uvažoval často nad tím, jestli update víc opraví než rozbije. Takže pak občas nasledovala kompilace zpátky na původní verzi.

Vítěz v soutěži o nejčastější downgrade byl intelí driver na grafiku - nevím jak to soudruzi z intelu dělali, ale dokázali asi rok vydávat verze, kde vždy něco víc a víc rozbili (to už je ale pár let zpátky).

Dokud byla databáze glsa-check nějak rozumně udržována, šlo updatovat pouze security bugy a "emerge world" jenom občas (s mnoha updaty je celkem oříšek dohledat, která knihovna něco rozbila; a že je něco rozbitého jsem často zjistil až o týden později).

Po update pythonu 2.X na 2.{X+1} teoreticky stačilo pustit "python-updater", prakticky jsem se musel seznamem stovky ebuildů prokousávat a vyhazovat ebuildy, které mezičasem zmizli z portage (prošel jsem 3 iterace, 2.3-2.6). Naštěstí tuším od 2.7 Guido slíbil, že nebude měnit pythoní ABI.

Ono i z RHELu lze udelat "Gentoo": vše lze kompilovat ze src.rpm, emulovat některé featury make.conf přes rpmmacros apod.

Díky. Všimnul jsem si, že jsem už něco z rpmfusion instaloval, protože jsem měl již naimportován jejich GPG klíč.

BTW jenom bych zmínil pro ostatní že defaultně se po instalaci RPMFusion zapnou i repozitáře s testovacími balíčky (co mi přišlo trocha neočekávané).