Re: Heise Meldung
Moin Jan!
Jan Lühr schrieb am Thursday, den 27. November 2003:
> > > keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu
> > > MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt
> > > um die Echtheit zu bestätigen?
> >
> > Wann raffst du es endlich? Uploads werden signiert, d.h. auch die
> > Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell
> > die neuen 3.0r2-Pakete prüfen konnte?
>
> Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind
Lern lesen. Ich schrieb nicht Pakete sondern Uploads. Ja, das heisst das
.changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur
versehen ist.
> nicht so überragend liegen aber auch selten krass daneben. Danach sind nur
> md5sums nicht aber signaturen der Maintainer in den Paketen zu finden.
md5sums werden in Packages-Files mitgeschleppt, und die md5sums der
Packages-Files in Release-Files, und diese sind wiederrum signiert.
Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung
seines händisch gezogenen Paketes verstehen will, aber es gibt es.
MfG,
Eduard.
--
Wir wollen die Waffen auf dem Fechtboden niederlegen, aber weggeben
wollen wir sie nicht.
-- Otto von Bismark
Reply to: