<div dir="ltr">Hi Ludo, rpfl brings a daemon that does most of the client side business logic, so in that way it is more or less generic and distro-agnostic. Plugins for the package managers need to be adapted for every system of course, but what a plugin needs to do is just:<div><br></div><div>1: call the rpfl daemon to start a new verification process for the packages that are being downloaded currently</div><div>2: report all finished downloads to the rpfl daemon, so it can compute hashes of these local files</div><div>3: before actually installing the packages, ask the rpfl daemon if the downloaded packages are legit</div><div><br></div><div>To implement that as a dnf plugin should not be too much code. Apt however does not seem to bring a plugin-api so it would probably end in a fork in that case.</div><div><br></div><div>Guix challenge looks interesting, however it seems to have a different approach and it is hard wired to guix of course, but I'll have a look at it. </div><div><br></div><div>best</div><div>Bernd</div><div><br></div><div><br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 2, 2016 at 10:17 AM, Ludovic Courtès <span dir="ltr"><<a href="mailto:ludo@gnu.org" target="_blank">ludo@gnu.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<br>
Bernd Hopp <<a href="mailto:berndjhopp@gmail.com">berndjhopp@gmail.com</a>> skribis:<br>
<span class=""><br>
> I'm looking for developers and build experts to join my project for<br>
> distributed package verification rpfl (github<br>
</span>> <<a href="https://github.com/berndhopp/rpfl" rel="noreferrer" target="_blank">https://github.com/berndhopp/rpfl</a>>) and would like to ask you to give me a<br>
<span class="">> hand at this. Goal of the project is to give package management systems the<br>
> opportunity to verify that a downloaded package corresponds to its publicly<br>
> available source code. To achieve this, a server will create hashes of the<br>
> packages that it had previously build from source and sign them via<br>
> ed25519; this signature is then be used by the client to check if the<br>
> downloaded package is the same as the package resulting from a build from<br>
> source.<br>
<br>
</span>I think this is a worthy goal.  My feeling is that this cannot be<br>
achieved in a way that is completely independent of the distro and its<br>
package management tool, which I think is also what Holger is<br>
suggesting.<br>
<br>
Guix has ‘guix challenge’, which looks similar in spirit to what you<br>
describe, but it’s of course Guix-specific:<br>
<br>
  <a href="https://www.gnu.org/software/guix/manual/html_node/Invoking-guix-challenge.html" rel="noreferrer" target="_blank">https://www.gnu.org/software/guix/manual/html_node/Invoking-guix-challenge.html</a><br>
<br>
Happy hacking!  :-)<br>
<br>
Ludo’.<br>
</blockquote></div><br></div>