> > è un controllo. Ma se il cattivone fotte il
> > repository ufficiale e spacciasse il programma
> > come aggiornamento alla versione X.(Y+1)
> > inserendo anche un MD5 farlocco
>
> md5 e pacchetto stanno su server diversi.. devono
> violare 2 macchine..
>
Forse basta violare il repository. Sono un poco arrugginito su repository vari ma, parlando sempre per ipotesi: pubblico sul repository il software "pippo versione X.(Y+1) taroccato e lo segno come aggiornamento, in sostituzione della versione X.Y, ultima versione ufficiale.
Fottendo il server posso fargli firmare l'hash del pacchetto e inviare l'md5 firmato al server che contiene le firme. Per il packet manager quello dovrebbe apparire come un aggiornamento regolare di un pacchetto buono, e non la sostituzione di un pacchetto buono con un cattivo.
>
> non era un problema di md5 ma di codice
>
in ogni caso era un problema di software con bug sfruttabili per "fottere" il sistema. I repository possono proteggerti abbastanza da software "falso genuino" ma sono inefficienti per proteggerti da software genuino bacato, come il server ssh di cui sopra; quindi occhi aperti sempre.