| 6 Jun 2023 |
 nim65s | yep, mais tu as la possibilité de le fair, c’est tout ce qui compte pour moi | 08:44:09 |
 Pol | C'est un petit pas, mais bon, tout seul c'est pas evident de faire avancer les choses. | 08:44:18 |
| nim65s | en tout cas, je considère que c’est un point important quand je choisis où je bosse | 08:44:26 |
 Gaétan Lepage | https://discourse.nixos.org/t/the-nixos-foundations-call-to-action-s3-costs-require-community-support/28672
Serait-ce une idée complètement absurde d'avoir un cache peer-to-peer qui pourrait être hébergé sur le serveur de Pierre-Paul-Jacques et depuis lequel on pourrait seeder les dérivations compilées ? | 08:49:50 |
| Gaétan Lepage | Ça permettrait à différents acteurs, individuels (avec un serveur dans leur garage) et industriels (prêt à éventuellement consacrer de grosses infras pour le cache) de participer selon leurs ressources. | 08:51:21 |
| Gaétan Lepage | Bon, après les implications techniques ne sont certainement pas triviales, mais ça permettrait de décentraliser un peu le cache et donc la distribution... | 08:52:09 |
| nim65s | les les caches Nix, j’ai vu passer pas mal d’histoire de confiance en les différentes caches, mais j’ai pas bien compris vu que je pensais que tout était hashé correctement | 08:53:06 |
| nim65s | * sur les caches Nix, j’ai vu passer pas mal d’histoire de confiance en les différentes caches, mais j’ai pas bien compris vu que je pensais que tout était hashé correctement | 08:56:20 |
| Pol | Pareil! | 08:56:20 |
| Gaétan Lepage | Bon visiblement il y a déjà pas mal de discussions sur des alternatives ditribuées sur le topic discourse. | 08:57:48 |
 Reventlov | en fait ça rejoint le problème de la reproductibilité binaire… | 09:06:23 |
| Reventlov | (ce que nix fait bof) | 09:06:30 |
| nim65s | Ok. Y’a quand même un set de paquets pour lesquels c’est bon ? | 09:07:04 |
| Reventlov | oui, mais de toute façon c'est signé par hydra | 09:07:16 |
| Reventlov | le problème c'est que t'as une seule "source of trust", au fond, c'est les paquets compilés par NixOS, et qu'il faut de toute façon arriver à les faire sortir de S3 à un moment (donc, probablement les 30k€ de frais de ransomware là) | 09:08:03 |
| Reventlov | (après est-ce que ça a une importance de garder les paquets compilés d'il y a 5 ans, peut être pas) | 09:08:44 |
| nim65s | ok, merci :) | 09:08:58 |
| Reventlov | en fait, hydra compile et signe les paquets binaires, qui actuellement restent stockés là bas, et la distribution est faite par un CDN. Le CDN peut tout à fait se faire remplacer par des miroirs communautaires (ce que font, au fond, toutes les distros). | 09:10:03 |
| Gaétan Lepage | ok, donc la signature est un truc indépendant du hash de la dérivation (au sens de nix) ? | 09:14:51 |
| nim65s | https://nixos.wiki/wiki/Binary_Cache du coup je comprends pas pourquoi les caches doivent avoir une paire de clefs | 09:15:02 |
| nim65s | à moins que ce dont parle cette page soit de "caches sources" par opposition à des mirroirs qui seraient simplement réplicateuers ? | 09:15:41 |
| nim65s | * à moins que ce dont parle cette page soit de "caches sources" par opposition à des mirroirs qui seraient simplement réplicateurs ? | 09:15:46 |
| nim65s | https://github.com/nix-community/harmonia/#configuration-for-public-binary-cache-on-nixos et ici ça dit qu’il faut ajouter une trusted-public-keys | 09:17:08 |
| Reventlov | « ok, donc la signature est un truc indépendant du hash de la dérivation (au sens de nix) ? » | 09:48:29 |
| Reventlov | oui, le hash de la dérivation ne couvre que les sources, et pas la sortie binaire | 09:48:37 |
| Reventlov | (mis à part dans du fixed output dérivation) | 09:48:47 |
| Reventlov | et pour la paire de clef… en fait… tu as une dérivation avec un ensemble d'inputs, tu prends le hash de ces inputs, et tu query ton cache binaire. Il va te répondre « oui, j'ai le machin buildé qui correspond, voilà son nar hash, et voilà une signature de ce hash » | 10:00:37 |
| Reventlov | derrière, ton client télécharge ton binaire, calcule le nar hash du truc, vérifie que c'est bien le nar hash que le cache binaire avait envoyé, et vérifie que la signature est bonne | 10:01:41 |
| Reventlov | au fond, ça permet de découpler la partie « résolution » d'un hash d'inputs vers un nar hash de la partie téléchargement (qui pourrait être peer-to-peer) | 10:02:04 |
| nim65s | ok, mais ce hash est déjà signé par Hydra, non ? | 10:02:11 |
