[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Heise Meldung

Jan Lühr <jluehr@gmx.net> schrieb:

> ja hallo erstmal,..
>
> Am Donnerstag, 27. November 2003 07:54 schrieb Eduard Bloch:
>> Moin Jan!
>>
>> Jan Lühr schrieb am Wednesday, den 26. November 2003:
>> >
>> > keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu
>> > MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt
>> > um die Echtheit zu bestätigen?
>>
>> Wann raffst du es endlich? Uploads werden signiert, d.h. auch die
>> Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell
>> die neuen 3.0r2-Pakete prüfen konnte?
>
> Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind 
> nicht so überragend liegen aber auch selten krass daneben. Danach sind nur 
> md5sums nicht aber signaturen der Maintainer in den Paketen zu finden.

Wenn du als User apt-get source machst, dann kriegst du unsignierte
Pakete. Und zwar deswegen, weil die von einem buildd gemacht werden,
also einer Maschine. Und Maschinen können keinen gpg-Key
eingeben. Wessen auch?

Wenn dagegen ein Debian-Developer Pakete nach incoming hochlädt, dann
sind die sehr wohl signiert. 

> Bitte was? Ich rege lediglich an, dass Maintainer und das sec-team die 
> authenzität von Paketen mit ihren gpg/pgp­-Signaturen in den Paketen selber 
> hinterlegen.

Das tun sie ja, für die interne Kommunikation. Welche Probleme dabei
auftreten, wenn man das nach außen tragen will, kannst du in den
Listenarchiven nachlesen.

Gruß, Frank
-- 
Frank Küster, Biozentrum der Univ. Basel
Abt. Biophysikalische Chemie
Reply to: