Re: Pakete verifizieren
Alexander Reichle-Schmehl schrieb am 14. Nov um 17:28 Uhr:
> Aber es existiert ein "Trustpath": Die Release Dateien sind signiert, die
> enthälten Prüfsummen der Paket-Indexe, die enthalten Prüfsummen der
> Paket-Dateien, die Paket-Dateien enthalten Prüfsummen über die enthaltenen
> Dateien.
Vorgesehen und möglich wäre, wie es in dem von Tim verlinkten Text steht,
eine Signatur mit debsigs und debsig-verify. Schlecht ist, dass man nicht
wenigstens einzelne Pakete signieren kann, ohne (durch die Aktivierung der
Signaturüberprüfung) dass ganze Installationssysten ins Wanken zu bringen.
Wie ich den Trustpath überprüfe muss ich nun herausfinden. Ich würde gerne
nachvollziehen, was apt da (möglicherweise) automatisch macht.
Nach etwas nachdenken komme ich darauf, dass die Release-Dateien immer die
neuste Version eines Paketes aufführen. Wenn ich eine ältere
Paketdatei überprüfen will, wo bekomme ich dann die zugehörige Release-Datei
nebst GPG-Signatur her? Die ist ja "veraltet" und nicht mehr auf dem Server.
Gruß
Christian
> Ich bin mir gerade nicht 100%-ig sicher, aber ich glaube das Tool um diese
> Prüfsummen zu verifizieren wäre debsums. Die Signaturen der Release-Dateien
> / Paket Indexe werden bei einem apt update verifiziert. Weiß gerade nicht,
> ob man da einen anderen Weg gibt.
>
>
> Mit besten Grüßen,
> Alexander
--
http://cknoke.de
Reply to: