Hi! Am 2017-11-14 16:51, schrieb Tim Boneko:
TL;DR: Binär-Pakete sind überwiegend unsigniert?!? Das lese ich noch nach... Ich bin erst mal etwas verwirrt... Sind nur die Release-Files signiert?
Ja und nein. Die .deb-Dateien selbst sind in der Regel nicht signiert, im Sinne "es gibt eine digitale Signatur als Teil der .deb-Datei selbst".
Aber es existiert ein "Trustpath": Die Release Dateien sind signiert, die enthälten Prüfsummen der Paket-Indexe, die enthalten Prüfsummen der Paket-Dateien, die Paket-Dateien enthalten Prüfsummen über die enthaltenen Dateien.
Ich bin mir gerade nicht 100%-ig sicher, aber ich glaube das Tool um diese Prüfsummen zu verifizieren wäre debsums. Die Signaturen der Release-Dateien / Paket Indexe werden bei einem apt update verifiziert. Weiß gerade nicht, ob man da einen anderen Weg gibt.
Mit besten Grüßen, Alexander