Re: Heise Meldung
Jan Lühr <jluehr@gmx.net> schrieb:
> ja hallo erstmal,..
>
> Am Donnerstag, 27. November 2003 07:54 schrieb Eduard Bloch:
>> Moin Jan!
>>
>> Jan Lühr schrieb am Wednesday, den 26. November 2003:
>> >
>> > keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu
>> > MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt
>> > um die Echtheit zu bestätigen?
>>
>> Wann raffst du es endlich? Uploads werden signiert, d.h. auch die
>> Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell
>> die neuen 3.0r2-Pakete prüfen konnte?
>
> Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind
> nicht so überragend liegen aber auch selten krass daneben. Danach sind nur
> md5sums nicht aber signaturen der Maintainer in den Paketen zu finden.
Wenn du als User apt-get source machst, dann kriegst du unsignierte
Pakete. Und zwar deswegen, weil die von einem buildd gemacht werden,
also einer Maschine. Und Maschinen können keinen gpg-Key
eingeben. Wessen auch?
Wenn dagegen ein Debian-Developer Pakete nach incoming hochlädt, dann
sind die sehr wohl signiert.
> Bitte was? Ich rege lediglich an, dass Maintainer und das sec-team die
> authenzität von Paketen mit ihren gpg/pgp-Signaturen in den Paketen selber
> hinterlegen.
Das tun sie ja, für die interne Kommunikation. Welche Probleme dabei
auftreten, wenn man das nach außen tragen will, kannst du in den
Listenarchiven nachlesen.
Gruß, Frank
--
Frank Küster, Biozentrum der Univ. Basel
Abt. Biophysikalische Chemie
Reply to: