Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
- To: debian-user-german@lists.debian.org
- Subject: Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
- From: Joerg Sommer <joerg@alea.gnuu.de>
- Date: Sun, 3 Jul 2005 20:43:35 +0000 (UTC)
- Message-id: <[🔎] slrndcgjfl.3mf.joerg@alea.gnuu.de>
- References: <20050627171525.GB13088@morpheus.apaku.dnsalias.org> <200506300009.01051.werner@vollstreckernet.de> <20050629223410.GA22889@morpheus.apaku.dnsalias.org> <200506300158.18253.werner@vollstreckernet.de>
Werner Mahr <werner@vollstreckernet.de> wrote:
> Am Donnerstag, 30. Juni 2005 00:34 schrieb Andreas Pakulat:
>> On 30.Jun 2005 - 00:08:56, Werner Mahr wrote:
>> Aber ich glaube keine der beiden Optionen hat Einfluss auf das neue
>> apt-Zeugs, wenn da wirklich die deb's signiert werden...
>
> Ich denke mal das da ein neues Feld im Control von dem Deb eingefügt
> wird, das ganze Deb durch gpg oder so zu jagen macht ja nicht wirklich
> Sinn.
Nein, der Trick ist ganz einfach. Die Release-Dateien, die apt mit update
zieht, sind signiert. Darin stehen die MD5-Summen der Packages-Dateien
und in denen stehen die MD5-Summen der Packete.
#v+
$ ls /var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release*
/var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release
/var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release.gpg
$ sed -n 10,12p /var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release
MD5Sum:
9773ff94eb224c1ebd9a6d15910ebe29 344480 main/binary-alpha/Packages
7140d6182532f0407e341544f19a265c 79134 main/binary-alpha/Packages.gz
$ apt-cache show hello |grep MD5
MD5sum: 167c0d7951ede4e7520325c9ea3693d9
#v-
Jörg.
Reply to: