"Igen, mert te végigolvasod az összes bináris gépi kódot"
Én arról beszéltem, hogy a számítástechnika világában léteznek olyan technikák, amik feleslegessé teszik a "végigolvasást". Úgy láttam, hogy neked ez nem annyira egyértelmű. Abban egyetértünk, hogy minden biztonsági megoldás annyit ér, amennyire betartják a biztosnági előírásokat.
"Ha megtöröd a fejlesztői gépet, akkor 1. lehet hogy megszerzed a digitális aláírást,"
Jah, ha ellopod valakinek a hitelkártyáját, lehet, hogy alkoholos filccel rá van írva a PIN kód. Az ég kék, a víz nedves ...
"de sokkal egyszerűbb ha csak hagyod, hogy végigmenjen a procedúra normálisan, egy új verzió kijövetele során (ami persze tartalmazza a rosszindulatú kódot is), és akkor szépen fogja a debianos emberke és aláírja."
Ott is checksum-olnak. Nem hiszem, hogy erre nagy esély lenne. Elvileg elképzelhető. De ez nem zárható ki egyetlen más projekt, operációs rendszer, vagy bármilyen program esetében sem. Lásd OpenSSH backdoor. Érdekes módon azt egy checksum ellenőrzés "fogta meg".
--
trey @ gépház