Re: Linux und Malware 2006 Debian clamav installation
Am Mittwoch, 16. Mai 2007 schrieb dirk.finkeldey:
> Mark Walter schrieb:
> >Hi,
> >
> >habe gerade den folgenden Artikel geschrieben:
> >
> >http://knutshome.de/~antharist/articles/clamav_debian_sarge.de.html
> >
> >In der Regel werdet Ihr ausser in E-Mailanhaengen keine Viren
> > finden, solange man nur zertifizierte Downloadquellen nutzt. (z.B.
> > Debian Server).
>
> Auch die Officiellen Debian Spiegel sind schon gehackt worden, wenn
> ich mich nicht irre in 2006.
So richtig vertraue ich der Debian-Paket-Signierung auch nicht über den
Weg. Die grundlegenden Methoden sind zwar sicher, aber die Anwendung
ist mir nicht klar.
Wo wird die Release Datei denn signiert (von wem auf welchem Rechner)?
Kann zum Zeitpunkt des Signierens immer 100% gesagt werden das die
aktuelle Packages* und Sources* Dateien definitiv nicht manipuliert
wurden? Sprich jemand fremdes hat ein neues (modifiziertes)
binary-Paket eingespielt und neue Packages Datei erzeugt sowie die neue
MD5 in der Release Datei eingetragen, wenn jetzt die neue Release Datei
signiert wird, wird ein nicht vertrauenswürdiges Paket als "sicher"
ausgeliefert.
Ich vermute zwar, das der Schritt Signieren direkt im Anschluss an
Packages+Sources+Release-Erzeugen erfolgt, aber 100% Sicherheit
garantiert das ja immer noch nicht (eine Manipulation muss nur
entsprechend gut getimed werden).
Außerdem, wie sicher sind denn die benutzten Schlüssel verwahrt?
--
Markus Schulz
> > Ich kann warten.
> Du bist noch jung?
Ich komme langsam in das Alter, in dem man zwar das warten gelernt, aber
nicht mehr viel Zeit hat ;-)
Reply to: