Actualmente la respuesta es que no se puede. La única autenticación es para carga (realizada por autenticación HTTP básica).
Hay varios niveles de seguridad que la gente pregunta por:
- Comprobación de si un archivo comprimido ha sido modificado desde que fue subido
- asegurar que una bolas de alquitrán no se pueden cargar por no mantenedores
- de cheques que un tarball fue realmente producido por un individuo en particular
El nuevo servidor manejará el segundo problema.
Agregar un manifiesto firmado al índice de pirateo resolvería el primero. Esa sería una solución relativley ligera. No garantiza que el paquete cargado sea de alguien en particular o que el servidor no haya sido pirateado.
El tercero sería mucho más pesado y no podemos esperar que esto sea algo más que opcional. Por un lado, significa que los mantenedores tienen que firmar sus paquetes. También significa que los usuarios de alguna manera tienen que administrar un llavero o una red similar de confianza. Esta sería una gran cantidad de infraestructura, por ejemplo hacer que gnupg funcione en Windows sería una pita.
No hay verificación de identidad real de los contribuyentes. Y no hay garantía de que mantengan sus contraseñas de carga seguras. Es una empresa "Confío en todos". – sastanin
No me preocupa eso, lo que me gustaría es estar seguro de que lo que descargo proviene del servidor de hackage "real". Autenticar lo que está en los archivos de hackage es otro asunto. – iustin