<div dir="ltr"><br><br><div class="gmail_quote">On Wed, Apr 15, 2015 at 8:02 AM Greg Weber <<a href="mailto:greg@gregweber.info">greg@gregweber.info</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 14, 2015 at 9:50 PM, Michael Snoyman <span dir="ltr"><<a href="mailto:michael@snoyman.com" target="_blank">michael@snoyman.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Yes, I think you've summarized the security aspects of this nicely. There's also the reliability and availability guarantees we get from a distributed system, but that's outside the realm of security (unless you're talking about denial of service).<br></div></blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Is it possible to separate out the concept of trusted revisions from a distributed hackage (into 2 separate proposals) then?</div><div>If Hackage wanted to it could implement trusted revisions. Or some other (distributed or non-distributed) package service could implement it (as long as the installer tool knows to check for revisions there, perhaps this would be added to Chris's signing tooling).</div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div> </div></div></div></div></blockquote><div><br></div><div>It would be a fundamental shift away from how Hackage does things today. I think the necessary steps would be:</div><div><br></div><div>1. Hackage ships all revisions to cabal files somehow (personally, I think it should be doing this anyway).</div><div>2. We have a list of trustees who are allowed to edit metadata. The signing work already has to recapture that information for allowed uploaders since Hackage doesn't collect GPG keys</div><div>3. Every time a revision is made, the person making the revision would need to sign the new revision</div><div><br></div><div>I'm open to other ideas, this is just what came to mind first.</div><div><br></div><div>Michael </div></div></div>