Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, den 29.06.2005, 22:44 +0200 schrieb Sven Hartge:
> Andreas Pakulat <apaku@gmx.de> wrote:
> > On 29.Jun 2005 - 20:16:48, Sven Hartge wrote:
>
> >> Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein
> >> paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen
> >> Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für
> >> Falten auf der Stirn sorgen, zumindest am Anfang.
>
> > Inwiefern? Also als Enduser meine ich?
>
> Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine
> entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden,
> fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs
> installieren willst.
Da die Pakete selbst nicht signiert sind, könnte es ein, dass apt
einfach nur die signierten Release-Dateien (Release.gpg) prüft, so wie
das ursprünglich auch mal vorgesehen war?
apt-check-sigs script,
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign)
> Dieses Verhalten dürfte bei einigen für Verwunderung sorgen.
Es wäre nur die Implementierung einer schon sehr lange diskutierten
Lösung (stand schon länger im Securing Manual).
MfG Daniel
Reply to: