rafmav a écrit :Mon expérience personnelle de pacman-key fut très mauvaise au départ: j'essayais de faire des mises à jour alors que la base des clés était absente en local, et j'ai perdu du temps avec pacman qui essayais de récupérer chaque clé une par une en me demandant de confirmer, avec au final aucun succès sur l'installation. J'ai donc désactivé cette possibilité de pacman, et ma vue de pacman-key en fut très négative.
Selon l'époque où tu as pris le wiki, il y a avait plus ou moins de choses.

Pour résumer: tout paquet provenant d'un dépôt officiel est désormais signé, cela permet de s'assurer que c'est bien untel qui a fabriqué le paquet et pas qu'un tiers malveillant a substitué une partie de son contenu (maintenant, il n'y a aucune protection vis-à-vis de paquets non officiels, comme Aur... mais ça, on vous serrine assez sur le côté potentiellement dangereux

... et puis la proportion des paquets persos devrait somme toute être infime chez nous).
Pour s'assurer de la vérification des différentes clés des développeurs et utilisateurs de confiance d'Arch, le processus est le suivant:
- tu as ta propre clé (générée par le
pacman-key --init
)
- tu récupères les 5 clés principales que tu signes avec ta clé et auxquelles tu accordes un certain niveau de confiance (ces clés signent les clés des développeurs et utilisateurs de confiance, donc ça permet à pacman de vérifier si leurs clés sont valides ou non) puis tu ajustes le niveau de vérification dans pacman.conf. Au fur et à mesure, pacman récupéra automatiquement les clés tierces et les vérifiera.
Dans l'absolu, ça n'est pas dramatique de ne pas déjà l'utiliser car pacman-key est disponible mais son utilisation n'est pas encore officielle (la dernière annonce est claire à ce sujet:
http://archlinux.fr/news/pacman-4-dans-core (tu peux aussi consulter les sujets en rapport qui ont fleuri au moment

). D'ailleurs, les paquets les plus anciens ne sont pas signés, donc ça oblige à ajuster a configuration de pacman de temps en temps si tu veux tester les options les plus sécuritaires. Les bases de données ne le sont pas encore non plus.
Maintenant pour répondre à ta question: je l'utilise aussi maintenant (après un petit temps d'observation, comme d'hab' chez moi).
Est-ce utile ? Quand même oui. Ce n'est pas parce qu'on évolue dans un monde libre qu'il ne faut pas garder une once de méfiance et cet aspect étant quand même manquant sur Arch

. Maintenant, le système n'est pas parfait, à ce niveau aucun ne l'est totalement (la faille la plus énorme est, comme pour une connexion ssh ou d'autres machins basés sur des certificats, le fait de faire confiance à un moment donné... malheureusement il n'y a aucune parade à ça

... modulo ça, le reste est fiable... au moins sur le principe

)... ... ça permet également de donner et/ou de s'interroger sur quelques principes de crypto.