Hanns-Georg Krenhuber:
>
> Zunaechst: Ich habe diese Mailinglist nicht abonniert. (Ich weiss zwar
> nicht, wieso das von Interesse ist (ich benötige keine carbon copies von
> allfaelligen Antworten, da ich ja das Archiv der Liste einsehen kann),
> ich erwaehne es aber dennoch, weil mich die Gebrauchsanweisung der Liste
> dazu verhaelt.)
Na dann: moin!
> 1.) Woher kommt die unterschiedliche Behandlung der Pakete? - Sie
> stammen letztlich doch aus der selben Quelle! - Ist "`aptitude"' im
> einen Falle unangemessen vertrauensselig oder im anderen Falle
> unangemessen misstrauisch?
Gute Frage. Ich würde eigentlich erwarten, dass der Installer die
Signaturen genau so prüft, wie aptitude später. Die dafür notwendigen
Schlüssel müssen dafür natürlich auf dem Installationsmedium sein, aber
auch davon gehe ich aus. Und da Deine Medien letztlich aus der gleichen
Quelle stammen, sollten die benötigten Schlüssel auc identisch sein.
Was ich mir nur vorstellen kann: Du hast jigdo-lite aus sarge benutzt,
was noch keine signierten Release-Dateien kennt und deswegen ignoriert.
Oder jigdo erstellt die Release-Dateien sogar selbst und kann die
dementsprechend nicht signieren. Das würde dann aber dagegen sprechen,
dass der Installer die Signaturen verifiziert. Müßte sich jemand zu
äußern, der sich damit genau auskennt.
Mich würde aber auch in diesem Fall nicht wundern, dass aptitude die
Pakete vom Installationsmedium als vertrauenswürdig erachtet, weil Du
durch das Starten des Installers im Prinzip schon Dein Vertrauen darin
ausgedrückt hast, dass der nix Böses tut.
> 2.) Wie soll ich mich nun verhalten? Wie kann ich "`aptitude"' und mich
> dazu bringen, Vertrauen in die Pakete zu fassen? - Der Server, von dem
> die erwaehnten Pruefsummen kamen, bot zu den Summen auch
> (GnuPG-)Signaturen an.
Die kannst Du /eventuell/ einfach runterladen und in die entsprechenden
Verzeichnisse deines lokalen Archivs tun. Das klappt aber nur, wenn Dein
lokales Archiv die gleichen Pakete (zumindest nicht mehr) in der
gleichen Version enthält.
> Anhand dieser Signaturen koennte man wohl
> feststellen, ob die Pruefsummen wirklich von der "`Debian"'-Organisation
> kommen. Aus der Authentizitaet der Pruefsummen kann man dann wohl nahezu
> zweifelsfrei auf die Authentizitaet jener Dateien schliessen, zu denen
> die Summen gehoeren, da es dem Vernehmen nach kaum moeglich ist, zu
> einer gegebenen Pruefsumme eine "`passende"' Datei zu erstellen.
So ist es zumindest gedacht, ja.
> 2.1.) Wenn ich den Umgang mit "`GnuPG"' richtig verstanden habe, dann
> koennte ich die Pruefsummen mittels der mitgelieferten Signaturen nur
> dann authentifizieren, wenn ich den dazu passenden oeffentlichen
> Schluessel haette. Kann ich den auf einem Weg bekommen, der (im
> Unterschied zum Internet) vertrauenswuerdig ist?
Im Normalfall sind die Schlüssel auf dem Installationsmedium, das Du
dann natürlich wiederum auf sicherem Wege beschaffen mußt. Das geht z.B.
über <http://cdimage.debian.org/debian-cd/4.0_r0/i386/iso-cd/>, wo
allerdings wiederum nur signierte Prüfsummen vorliegen, für deren
Prüfung Du einen bestimmten Schlüssel brauchst.
Letztendlich bleibt Dir also nur der persönliche Kontakt zu einer
vertrauensvollen Person oder das Web of Trust. Wobei letzteres etwas
schwierig ist, weil der Etch-Release-Key leider von nur zwei Leuten
signiert worden ist, soweit ich das sehe.
> 2.2.) Wenn Problem 2.1.) geloest ist und ich mich mittels "`gpg
> --verify"' überzeugt habe, wie ueberzeuge ich dann "`aptitude"' (und
> ggf. andere Paketverwaltungswerkzeuge, die vielleicht auch in neuen,
> misstrauischeren Versionen vorliegen)? - Hier waere ich fuer
> detaillierte Anweisungen oder Hinweise, wo ich diese Anweisungen finden
> koennte, dankbar.
Aptitude macht die Prüfung, die Du gerade beschrieben hast normalerweise
selbst, wenn es zu einer Release-Datei in einem Archiv eine Release.gpg
findet.
> Ich habe uebrigens schliesslich einige "`untrusted"' Pakete installiert,
> weil ich damals noch keine Hoffnung in Euch setzte und daher glaubte,
> keine andere Wahl zu haben, und weil das neue System zwar als produktiv-
> (und nicht experimental-)System, aber nicht fuer den direkten Kontakt
> mit dem Internet vorgesehen ist. - Ist das System jetzt unheilbar
> verunreinigt?
Das bestimmt einzig und allein Deine eigene Sicherheitsrichtlinie.
> Nebenbei - um auf das Anfangsthema zurueckzukommen: Sollte ich, bevor
> ich an die Liste schreibe, diese abonnieren? Braechte das irgendjemand
> irgendeinen Nutzen? Wenn ja, welchen?
Dir würde es einfacher gemacht zu antworten und uns würde es helfen,
weil Du dann mit geringerer Wahrscheinlichkeit Threads zerreisst.
J.
--
I am very intolerant with other drivers.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature