Dirk Salva:
> On Sat, Jun 06, 2009 at 07:50:58PM +0200, Sven Joachim wrote:
>>
>> Das schon. Aber man muss auch ein Repository in der sources.list haben,
>> das von dem »bösen Buben« kontrolliert wird, um jemals ein Paket von ihm
>> zu installieren.
>
> Und vor allem muss man das immer noch selbst als root anstossen.
Installierst Du Debian-Pakete nicht als root?
> Kein repo kann "von aussen" irgendwas an meinem Rechner von alleine
> machen,
Ne, aber Du installierst doch sicher Security Updates, oder nicht?
> insofern ist die Formulierung "Jeder Inhaber eines Schlüssels im
> apt-Keyring hat praktisch root-Zugriff auf Deine Kiste." nicht nur
> unüberlegt, sondern IMO schlichtweg falsch. "Zugriff" definiere ich
> jedenfalls anders.
Wenn Du meinen Schlüssel in Deinen apt-Keyring importierst und ich
Deinen Debian-Mirror manipuliere (Einbruch, DNS-Poisoning, was auch
immer), dann habe ich auf Deinem System root-Rechte, bzw. kann sie mir
verschaffen. So einfach ist das. Und genau gegen dieses Szenario
(manipulierte Repositories) soll apt-secure schützen. Das macht man sich
kaputt, wenn man ohne nachzudenken irgendwelche Keys importiert.
Betrachte es doch mal andersherum. Angenommen ich kontrolliere diesen
Key hier:
pub 4096R/55BE302B 2009-01-27 [expires: 2012-12-31]
uid Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>
Meinst Du nicht, ich könnte mir dann Zugriff auf Dein System
verschaffen? (Ok, ok, ich bin auch kein l33t Hacker. Aber die praktische
Möglichkeit ist ganz klar da.)
Man muss sich hier klarmachen, dass für apt jeder Key in seinem Keyring
absolut gleichwertig ist (so lange er nicht expired ist). Ob die Datei
http://ftp2.de.debian.org/debian/dists/lenny/Release von 55BE302B oder
D58ADB39 (meinem Key) signiert ist, ist Deinem apt völlig egal, sobald
Du meinen Key erstmal importiert hast.
Eventuell sollte man apt dahingehend erweitern, dass es pro Repository
einen eigenen Keyring benutzt.
> Selbstverständlich bietet ein Key _nicht_ mehr Sicherheit für die
> Installation als ohne Key. Ein Key ist letztlich nur dafür da,
> sicherzustellen, daß man die Daten auch wirklich von der Quelle
> bekommt, die man eingetragen hat, und nicht von einer
> "man-in-the-middle"-Quelle. Ein Key wäre genauso nutzlos, wenn sich ein
> potentieller Angreifer Zugriff auf dem Repo-Server verschafft und
> direkt dort die Pakete manipuliert. Zu mehr ist ein Key nicht in der
> Lage.
Ich kann Dir in diesem Absatz nicht folgen, habe aber den Eindruck, Du
widersprichst Dir selber. Meinst Du mit dem vorletzten Satz mit
"Repo-Server" die Maschine von Debian, auf der die Release-Dateien
signiert werden? -ACK, das ist natürlich ein single point of failure.
Deswegen aber zu behaupten, dass die Schlüsselüberprüfung keine
zusätzliche Sicherheit bietet, finde ich dennoch eigenwillig.
J.
--
Looking into my eyes is the only way you'll know I'm telling the truth.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature