> Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…Взлом центра -> подмена ключей -> замена исходников жертвы -> обнаружение взлома центра -> восстановление из бэкапа -> .......
Много за это время успеют скачать затрояненый дистриб?
--------
Не,...... всё гораздо проще...
Сервак выдающий подписи живет в режиме полного READ-ONLY
Записи в базу вносятся операторами в полуавтоматическом режиме,
после подробного хандшейка:
- Запрос на внесение в базу новой версии дистриба.
* Проверка записей авторов, подписей, открытого ключа.
* Разрешение о приёме исходников. Передача разового ключа шифрования.
- Шифрование и передача исходников.
* Генерация контрольных сумм.
* Запрос у мантэйнера дистриба, по зарегистрированному ранее адресу ключа шифрования.
- Передача ключа шифрования.
* Возврат ссылки на подпись в базе SCOSS.
- Размещение ссылки на сайте дистриба.
----------------
Прое...ут ключи - в черный список, - за безответственное отношение к безопасности планеты!
Взломали сайт- в черный список - как чайнег недостойный звания OSS-программер.
PHP программеры уйдут в полный андеграунд :)