Re: Heise Meldung
On Wed, 26 Nov 2003 17:35:53 +0100, you wrote:
>On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan Lühr wrote:
[...]
>> Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service
>> keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem
>> Internetverbundenen System gebaut werden und dann erst nach Erstellung einer
>> Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel
>> Begrenztere Ausmaße angenommen.
>
>Wenn es so einfach waere, gaebe es das sicherlich schon. Da es diese
>Signaturen nicht gibt, scheint es offensichtlich nicht so einfach zu sein.
Soweit ich in diesem Zusammenhang in anderen Quellen gelesen habe,
sind Source-Pakete signiert - nur halt die Binaries nicht.
Es wäre wünschenswert, wenn dies auch für Binaries kommen würde, dann
wären die Aufräumarbeiten nach einem gerüchteweise entfleuchten
Passwort nicht so arbeitsintensiv.
Aber mit dem Signieren allein ist es ja auch nicht getan.
Als Enduser willst Du ja beispielsweise auch erkennen können, ob die
Signatur von einem X-beliebigen kommt oder ob derjenige ein im
Debian-Projekt autorisierter Maintainer/Developer ist.
Ja, auch das lässt sich einfach machen. Außerdem müssen noch
Vorkehrungen getroffen werden, falls ein Schlüssel zurückgerufen wird
usw. Und das alles bei den wieviel tausend Paketen?
Wie Du siehst ist das ein erheblicher Verwaltungsaufwand, den man wohl
bis jetzt gescheut hat.
Michael
Reply to: