[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Gpg-Key für debian-unofficial.org etch

On Sun, Jun 07, 2009 at 02:48:31PM +0200, Jochen Schulz wrote:
> Wenn Du meinen Schlüssel in Deinen apt-Keyring importierst und ich
> Deinen Debian-Mirror manipuliere (Einbruch, DNS-Poisoning, was auch
> immer), dann habe ich auf Deinem System root-Rechte, bzw. kann sie mir
> verschaffen. So einfach ist das. Und genau gegen dieses Szenario

Hast Du nicht. Du hast root-Rechte, wenn Du physischen Zugriff hast
oder wenn Du durch eine Lücke (z.B. durch ein schlechtes User-PW)
root-Zugriff per Konsole erlangst. Mit Deinem Szenario hat höchstens
Dein Script die Möglichkeit, Probleme zu verursachen. root-Zugriff hast
Du damit nicht.
Davon ab habe ich das von Dir erwähnte Szenario ja selbst beschrieben.

> pub   4096R/55BE302B 2009-01-27 [expires: 2012-12-31]
> uid                  Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>
> Meinst Du nicht, ich könnte mir dann Zugriff auf Dein System
> verschaffen? (Ok, ok, ich bin auch kein l33t Hacker. Aber die praktische
> Möglichkeit ist ganz klar da.)

Nein, könntest Du nicht. Root-Zugänge von aussen sind nicht erlaubt,
und auf diversen meiner Systeme intern auch nicht - nur per su von
einem bestimmten User.

> Man muss sich hier klarmachen, dass für apt jeder Key in seinem Keyring
> absolut gleichwertig ist (so lange er nicht expired ist). Ob die Datei

Man muss sich hier klarmachen, dass Zugriff und
Manipulationsmöglichkeit zwei unterschiedliche Paar Schuhe sind.

> > Selbstverständlich bietet ein Key _nicht_ mehr Sicherheit für die
> > Installation als ohne Key. Ein Key ist letztlich nur dafür da,
> > sicherzustellen, daß man die Daten auch wirklich von der Quelle
> > bekommt, die man eingetragen hat, und nicht von einer
> > "man-in-the-middle"-Quelle. Ein Key wäre genauso nutzlos, wenn sich ein
> > potentieller Angreifer Zugriff auf dem Repo-Server verschafft und
> > direkt dort die Pakete manipuliert. Zu mehr ist ein Key nicht in der
> > Lage.
> Ich kann Dir in diesem Absatz nicht folgen,

Macht nix.

> Meinst Du mit dem vorletzten Satz mit
> "Repo-Server" die Maschine von Debian, auf der die Release-Dateien
> signiert werden? -ACK, das ist natürlich ein single point of failure.

Natürlich. Was sonst.

> Deswegen aber zu behaupten, dass die Schlüsselüberprüfung keine
> zusätzliche Sicherheit bietet, finde ich dennoch eigenwillig.

Deine Meinung. Die ich nicht behauptet habe. Lies meinen Absatz in
Ruhe.


ciao, Dirk
Reply to: