[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian: zunehmende Zweifel an der Systemsicherheit

Am Sonntag, 3. August 2008 schrieb Ansgar Burchardt:
> Hallo!
>
> Markus Schulz <msc@antzsystem.de> writes:
> >> http://www.cs.arizona.edu/people/justin/packagemanagersecurity/att
> >>ack s-on-package-managers.html
> >
> > Auf SSL warte ich schon recht lange, verstehe da auch das Problem
> > nicht so recht, die CA könnte Debian sich ja selbst erstellen und
> > das/die Stammzertifikate/kette ja als Paket auch mit ausliefern.
>
> Wo wartest du auf SSL?  Bei der Kommunikation von apt-get mit dem
> Mirror?  Wenn ja, welche Vorteile soll das bringen?  Und für welche
> Parteien sollte Debian dann Zertifikate ausstellen?  An jeden der
> einen Debian Mirror betreibt (also praktisch an jeden der fragt)?

ja, an jeden der einen Mirror betreiben möchte. Ich weiß dann zumindest 
das ich auch garantiert mit dem Mirror rede den ich auch eingetragen 
habe. Vertrauen muss man ja schließlich sowieso mitbringen, 
insbesondere gegenüber den Maintainern. Ein Unterschieben (MITM) eines 
anderen Mirrors ist dann nicht mehr möglich. 

> Ich sehe den Nutzen nicht.  Veränderungen können ja jetzt schon nicht
> stattfinden, das einzige Problem wären veraltete
> Release-Informationen, aber wie soll SSL da helfen?

Okay, hierbei hilft SSL nicht sonderlich, da nach dem Download eines 
Paketes es gegen die MD5 Summe aus der Packages geprüft wird, es dürfte 
also verdammt schwer sein anderes Paket unterzuschieben.

-- 
Markus Schulz

> Doch, genau darum gehts:
> 
> hinreichend == ausreichend

Nein ;) wenn das was für dich hinreichend ist für mich nicht
hinreichend ist, dann ist dein hinreichend für mich nicht
ausreichend, jetzt klar ? ,)
Reply to: