[pacman-key] utilité de pacman-key ?

[rafmav]

Utilité de pacman-key ? Qui s'en sert ?

Merci d'avance pour vos réponses et témoignages.

[benjarobin]

Je te conseil de lire le Wiki, car il est tout sauf inutile !!!
De plus ta formulation est très très limite ! J'aimerai pas être le développeur de l'application, un peu de respect merci...

[Ypnose]

Cela permet pour faire court de signer les paquets qui sont téléchargés et installés sur le système. Donc c'est une chose plus qu'importante.
Beaucoup ont critiqué le fait qu'avant on avait, des paquets non signés et cela pouvait éventuellement être dangereux. Comme sur d'autres distribs où les paquets sont vérifiés avec les sommes MD5. C'est un grand pas vers plus de sécurité.
Et puis je ne vois pas pourquoi tu dis que c'est une usine à gaz. Le wiki francophone est très clair sur la procédure à suivre et c'est exactement la même chose que quand tu modifies tes fichiers de configs. Tu mets les mains dans le cambouis.

[rafmav]

Mon expérience personnelle de pacman-key fut très mauvaise au départ: j'essayais de faire des mises à jour alors que la base des clés était absente en local, et j'ai perdu du temps avec pacman qui essayais de récupérer chaque clé une par une en me demandant de confirmer, avec au final aucun succès sur l'installation. J'ai donc désactivé cette possibilité de pacman, et ma vue de pacman-key en fut très négative.

Quand au wiki, il dit comment l'installer, etc. pas si c'est utile, ni pratique. pour ça, un post sur un forum est mieux qu'un wiki ou d'éventuels rapports de bug, qui ne suffisent pas: rien ne remplace l'opinion de personnes qui ont expérimenté cette possibilité de pacman; à condtion qu'il y ait des réponses concrètes et sincères au post sur le forum!

@benjorabin:; ça n'existait pas avant, visiblement, c'est une brique de plus, et la philosophie d'archlinux (si je l'ai comprise) est de faire simple et qui fonctionn (c'est pour ça que j'ai largué ubuntu et autres distribution), donc si, ma question est pertinente. Quand au vocabulaire, ben si tu penses que ça marche très bien et que c'est utile, le mieux c'est de le dire: le développeur te remerciera!

@Ypnose: et donc, merci!

[Ypnose]

Au pire tu passes par un SigLevel = Never si tu ne veux pas entendre parler de pacman-key (mais c'est dommage).

[onyx67]

Perso le seul couac que j'ai eu c'est avec le serveur par défaut; j'ai opté pour keyserver hkp://pgp.mit.edu et depuis aucun soucis.
D'ailleurs, à mon avis ton problème de récupération des clés vient de là...

[FoolEcho]

Mon expérience personnelle de pacman-key fut très mauvaise au départ: j'essayais de faire des mises à jour alors que la base des clés était absente en local, et j'ai perdu du temps avec pacman qui essayais de récupérer chaque clé une par une en me demandant de confirmer, avec au final aucun succès sur l'installation. J'ai donc désactivé cette possibilité de pacman, et ma vue de pacman-key en fut très négative.

Selon l'époque où tu as pris le wiki, il y a avait plus ou moins de choses.
Pour résumer: tout paquet provenant d'un dépôt officiel est désormais signé, cela permet de s'assurer que c'est bien untel qui a fabriqué le paquet et pas qu'un tiers malveillant a substitué une partie de son contenu (maintenant, il n'y a aucune protection vis-à-vis de paquets non officiels, comme Aur... mais ça, on vous serrine assez sur le côté potentiellement dangereux ... et puis la proportion des paquets persos devrait somme toute être infime chez nous).
Pour s'assurer de la vérification des différentes clés des développeurs et utilisateurs de confiance d'Arch, le processus est le suivant:
- tu as ta propre clé (générée par le pacman-key --init)
- tu récupères les 5 clés principales que tu signes avec ta clé et auxquelles tu accordes un certain niveau de confiance (ces clés signent les clés des développeurs et utilisateurs de confiance, donc ça permet à pacman de vérifier si leurs clés sont valides ou non) puis tu ajustes le niveau de vérification dans pacman.conf. Au fur et à mesure, pacman récupéra automatiquement les clés tierces et les vérifiera.

Dans l'absolu, ça n'est pas dramatique de ne pas déjà l'utiliser car pacman-key est disponible mais son utilisation n'est pas encore officielle (la dernière annonce est claire à ce sujet: http://archlinux.fr/news/pacman-4-dans-core (tu peux aussi consulter les sujets en rapport qui ont fleuri au moment ). D'ailleurs, les paquets les plus anciens ne sont pas signés, donc ça oblige à ajuster a configuration de pacman de temps en temps si tu veux tester les options les plus sécuritaires. Les bases de données ne le sont pas encore non plus.

Maintenant pour répondre à ta question: je l'utilise aussi maintenant (après un petit temps d'observation, comme d'hab' chez moi).
Est-ce utile ? Quand même oui. Ce n'est pas parce qu'on évolue dans un monde libre qu'il ne faut pas garder une once de méfiance et cet aspect étant quand même manquant sur Arch . Maintenant, le système n'est pas parfait, à ce niveau aucun ne l'est totalement (la faille la plus énorme est, comme pour une connexion ssh ou d'autres machins basés sur des certificats, le fait de faire confiance à un moment donné... malheureusement il n'y a aucune parade à ça ... modulo ça, le reste est fiable... au moins sur le principe )... ... ça permet également de donner et/ou de s'interroger sur quelques principes de crypto.

[rafmav]

Bon, ok j'ai activé pacman-key: pour l'instant, j'ai cliqué à chaque demande de confiance pour chaque clé: comment faire autrement pour autant de paquets quand on ne connait pas les auteurs ? Impossible de tous les vérifier!

[FoolEcho]

Pas sûr d'avoir compris ce que tu as fait. Il ne faut pas accorder de niveau de confiance aux clés récupérées avec les paquets. Il faut récupérer les clés principales, les signer, leur accorder un niveau de confiance suffisant (voir wiki). Ce sont ces clés (il y en a 5) qui permettent de vérifier si celles provenant des paquets sont dignes de confiance ou non !