Re: Heise Meldung

To: Eduard Bloch <edi@gmx.de>
Cc: Debian User German <debian-user-german@lists.debian.org>
Subject: Re: Heise Meldung
From: Jan Lühr <jluehr@gmx.net>
Date: Thu, 27 Nov 2003 19:31:06 +0100
Message-id: <[🔎] 200311271931.16013.jluehr@gmx.net>
In-reply-to: <[🔎] 20031127160922.GA4862@zombie.inka.de>
References: <[🔎] 3FBDF7FC.7010203@pncommerce.de> <[🔎] 200311271652.37984.jluehr@gmx.net> <[🔎] 20031127160922.GA4862@zombie.inka.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ja hallo erstmal,..

Am Donnerstag, 27. November 2003 17:09 schrieb Eduard Bloch:
> Moin Jan!
>
> Jan Lühr schrieb am Thursday, den 27. November 2003:
> > > Lern lesen. Ich schrieb nicht Pakete sondern Uploads.
> >
> > Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen
> > an.
>
> Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit
> existieren, und zwar durch den genannten Pfad über md5sums und
> signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst,
> das ist richtig, aber solange man offiziele Pakete nimmt, ist die
> Authentizität nachvollziehbar.
>
> > > Ja, das heisst das
> > > .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur
> > > versehen ist.
> >
> > Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht
> > viel bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder
> > nicht echt ist.
>
> Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten
> Quellen.

Das sowieso;

> > Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es
> > auch nicht.
>
> Du hast in einer ziemlich trollhaften Weise argumentiert, sorry.

Sorry, war wohl nicht klug gewählt....

> > > > nicht so überragend liegen aber auch selten krass daneben. Danach
> > > > sind nur md5sums nicht aber signaturen der Maintainer in den Paketen
> > > > zu finden.
> > >
> > > md5sums werden in Packages-Files mitgeschleppt, und die md5sums der
> > > Packages-Files in Release-Files, und diese sind wiederrum signiert.
> > > Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung
> > > seines händisch gezogenen Paketes verstehen will, aber es gibt es.
> >
> > Was spräche dann gegen die Einführung eines solchen Systems?
>
> Zusätzlicher Aufwand und diverse andere Gründe. Um das bestehende System
> benutzbarer zu machen, gibt es "APT secure".
> http://monk.debian.net/apt-secure/

Danke für den Tipp.

> Ansonsten, was ich viel lieber sehen würde, wäre eine Erweiterung des
> existierenden "debsums"-Verfahrens: eine signierte Liste von Prüfsummen
> _aller_ Dateien des Pakets, abgelegt im Paket selbst.

Keine schlechte Idee.

Keep smiling
yanosz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
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=jRum
-----END PGP SIGNATURE-----

Reply to:

References:
- Heise Meldung
  - From: Patrick Cornelissen <cornelis@pncommerce.de>
- Re: Heise Meldung
  - From: Jan Lühr <jluehr@gmx.net>
- Re: Heise Meldung
  - From: Eduard Bloch <edi@gmx.de>

Prev by Date: Re: sarge
Next by Date: Re: Xfce4 und xscreensaver
Previous by thread: Re: Heise Meldung
Next by thread: Re: Heise Meldung
Index(es):
- Date
- Thread