Re: Heise Meldung
Moin Jan!
Jan Lühr schrieb am Thursday, den 27. November 2003:
> > Lern lesen. Ich schrieb nicht Pakete sondern Uploads.
>
> Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen an.
Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit
existieren, und zwar durch den genannten Pfad über md5sums und
signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst,
das ist richtig, aber solange man offiziele Pakete nimmt, ist die
Authentizität nachvollziehbar.
> > Ja, das heisst das
> > .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur
> > versehen ist.
>
> Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht viel
> bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder nicht echt
> ist.
Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten
Quellen.
> Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es auch
> nicht.
Du hast in einer ziemlich trollhaften Weise argumentiert, sorry.
> > > nicht so überragend liegen aber auch selten krass daneben. Danach sind
> > > nur md5sums nicht aber signaturen der Maintainer in den Paketen zu
> > > finden.
> >
> > md5sums werden in Packages-Files mitgeschleppt, und die md5sums der
> > Packages-Files in Release-Files, und diese sind wiederrum signiert.
> > Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung
> > seines händisch gezogenen Paketes verstehen will, aber es gibt es.
>
> Was spräche dann gegen die Einführung eines solchen Systems?
Zusätzlicher Aufwand und diverse andere Gründe. Um das bestehende System
benutzbarer zu machen, gibt es "APT secure". http://monk.debian.net/apt-secure/
Ansonsten, was ich viel lieber sehen würde, wäre eine Erweiterung des
existierenden "debsums"-Verfahrens: eine signierte Liste von Prüfsummen
_aller_ Dateien des Pakets, abgelegt im Paket selbst.
MfG,
Eduard.
--
Was bis dahin wie ich aussieht, ist nur meine Verpackung.
Reply to: