Wednesday October 12 2016 22:22, from Alexey Vissarionov -> Nil Alexandrov:
NA>> Дык надо всё равно "договориться о линке" сначала, т.е. NA>> обменяться паблик ключами.
AV> Не надо. AV> Видел, как анонимный доступ для git или cvs делают? Не пидорский, AV> через http (https), а именно по ssh.
Так получается это анонимный линк, ни тот, ни другой пир не аутентифицированы. И, кстати в случае с https можно хоть серт проверить по рутовому CA (из базы браузеров), т.е. можно верить, что мы с гитхаба тащим сорцы, а не с чувака-по-середине.
AV> ЭЦП в Фидо использовались еще в прошлом тысячелетии...
PGP? А где доверенные паблики хранить?
NA>> откуда мы последнюю версию вообще скачали или по какой файлэхе NA>> пришло или кто туда захатчил.. AV> Это не должно иметь никакого значения. Контрольная сумма (hash) AV> совпадает, подпись соответствует - значит, нодлист кошерен.
Нодлист который я использую и который приходит по официальным файлэхам, он имеет CRC в первой строчке, но ни кем не подписан. Где вы берёте "кошерные" подписанные нодлисты?
AV> Вопрос стойкости хеш-функции.
Коллизии всегда будут, зато строчку нодлиста не так раздует, да 64 символа, типа как длинный хостнейм или емейл :-)