Re: apt,apt-key und signierte Releasedateien
Am Mittwoch, den 10.08.2005, 14:10 +0200 schrieb Andreas Pakulat:
> On 10.Aug 2005 - 14:02:21, Daniel Leidert wrote:
> > Am Dienstag, den 09.08.2005, 23:32 +0200 schrieb Andreas Pakulat:
> > > On 09.Aug 2005 - 22:33:23, Markus Schulz wrote:
> > > Die Release-Datei wird signiert und mir daemmerts langsam wo das Problem
> > > sein koennte (s.u.).
> > >
> > > > So genau hab ich mich mit der Thematik aber noch nicht befaßt.
> > >
> > > Ich wollte, aber man findet nur sehr spaerlich Info's (oder ich hab die
> > > falschen Google-Schlagwoerter).
> >
> > Die Infos befinden sich im Securing Howto (Kapitel 6 oder 7, IIRC
> > 7.1-7.4)
>
> Hmm, ich hatte eine Seite im Securing-Howto gelesen, aber da stand nicht
> mehr als gpg --export | apt-key add - drin.
Was genau ist denn unklar bzw. was möchtest du wissen?
> Naja und das Release.gpg die
> Signatur fuer Release ist und dort die MD5Summe von den Packages und
> dort die MD5Summen der Pakete...
>
> > > Mich wuerde naemlich auch interessieren wie ich das Signieren fuer mein
> > > privates kleines Repository hinkriege...
> >
> > Einige Applikationen zum Erstellen von Repositorien können das (z.B.
> > debpool, dak, reprepro, bei debarchiver in Arbeit). Ansonsten wäre hier
> > eine Anregung (Originalquelle:
> > http://ccdw.org/~cjj/files/debs/update_list - aber leider nicht mehr
> > lesbar): http://debian.wgdd.de/stuff/signed-release
>
> Danke, mal sehen ob ich dann apt-ftparchive in den Wind schiesse (das
> erstellt ja auch keine MD5Summe in der Release Datei)
Wirst du wohl nicht können (selbst wenn du eine Repository-Fertiglösung
nimmst). apt-ftparchive ist zum Erstellen signierter Release-Dateien
immer das Backend (AFAIK).
MfG Daniel
Reply to: