[О блоге] [наверх] [пред] [2023-05-23 19:27:58+03:00] [b3b47ad4d00d6daefad47943d8f4eaafadfd4bed]
Темы: [hate][python]

PyPI убирает поддержку OpenPGP

https://blog.pypi.org/posts/2023-05-23-removing-pgp/
https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI-worse-than-useless
С одной стороны я понимаю что PGP там наверное нафиг не сдался, ибо на
Python в основном пишут те, кто даже не знает что "PGP" такое. И понимаю
что нужно поддерживать это в инфраструктуре -- хотя ведь это просто ещё
один дополнительный файл для загруженного пакета, чего тут сложного?

С другой, мне совершенно не нравится их исследование. Автор почему-то
считает что все ключи должны быть обнаруживаемы на ключевых серверах? С
фига ли? Он пишет что "aren’t discoverable by the PGP ecosystem’s own
tooling" -- нет, GnuPG и его автор открыто говорят что предпочтительный
способ обнаружения ключей это уже давно WKD. Не все хотят загружать свои
ключи на ключевые сервера. Это уже дело конечного пользователя как ему
получать доверие над пакетом или ключом его подписывающим. И раньше PyPI
хотя бы предоставлял возможность это доверие от автора привносить.

Автор считает, что почему-то должны быть expire data, ключи же ведь
протухают. Опять же, с фига ли?

RSA-2048, считается, имеет 112-бит силу. Ok. Чем это проблема? То что
наверное новые ключи стоило бы создавать посильнее -- ну да, наверное.
Но на практике это означает что 112-бит будут скоро ломать? Я вообще
считаю что от RSA давно пора избавиться, но не потому что у него
какие-то практические проблемы с безопасностью.

Про ECC ключи он написал:
    It’s also probably pointlessly slow (for P-521 and brainpoolP512r1
    in particular)
но умолчал, что это также probably в сотни раз быстрее RSA (for *25519
in particular).

Довольно безграмотное исследование в целом. Хотя да, конечно есть и
слабые ключи, и глюкавые, проблематичные, странные. А если бы они
разрешали заливать minisig/signify ключи? Не вариант, ибо у них вообще
нет discoverability из коробки, зато с криптографией никаких вопросов?

Но PyPI в последнее время ведёт себя люто негоже: и двухфакторная
авторизация (61b09aa1dc97dfdfff5e80684d20a74ad3b4ef21), и пару дней
назад они прикрыли регистрацию из-за создания множества зловредных
пакетов, а сейчас ещё и деградируют свой функционал (хотя это наверное
из 99.99% Python-программистов и не заметили бы). Я рад что вовремя
оттуда удалился, ибо не дело.

    [оставить комментарий]