On December 10, 2018 10:46:38 AM UTC, Stefano Zacchiroli <zack@upsilon.cc> wrote: On Mon, Dec 10, 2018 at 09:14:31AM +0100, Alberto Cammozzo wrote: Ecco un buon uso della blockchain: archivio distribuito degli hash di binari o sorgenti scaricati da fonti incerte. :-) Nah, le care vecchie signature sono più che sufficienti per evitare tampering nella catena di download. In questi casi, *se* nel tuo threat model ti vuoi fidare dell'autore/committer del codice, il consensus stile blockchain continua ad essere una soluzione in cerca di un problema :-) Potrei fidarmi del committer ma non del repository, o di tutti i repository. Pensa ad esempio ai molti repository alternativi di app Android (Play, f-droid, ecc). In questo caso il device può autonomamente acquisire e verificare la signature da una fonte write-once distribuita.