[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Welche Keys braucht es zur Signatur eines Archives

On Tue, 09 Jul 2019 23:35:29 +0200
Marc Haber <mh+debian-user-german@zugschlus.de> wrote:
> On Tue, 09 Jul 2019 21:57:06 +0200, Ansgar Burchardt <ansgar@43-1.org>
> wrote:
> > Marc Haber writes:

> > > Ich habe mir daraufhin die Signaturen auf den Release-Files angeschaut
> > > und habe ein paar fragen.

> > > Ist es nicht so, dass eine richtige Signatur auf dem Release-File
> > > ausreichend ist? Müssen alle drei verifiziert werden, damit das
> > > Release-File wirklich ernsthaft richtig ist?
> >
> > Eine Signature sollte reichen.  APT ist damit auch glücklich (gibt aber
> > eine Warnung für zusätzliche Signaturen von unbekannten Schlüssel aus,
> > die Leute verwirrt).

Meiner Meinung nach sollten alle drei Signaturen überprüft werden.

1. Warum sollte man auf die Überprüfung verzichten, wenn die Signaturen
und die Schlüssel (in debian-archive-keyring) vorhanden sind?

2. Ein einziger, unbekannterweise kompromittierter, Schlüssel würde reichen,
jedem Debian-System falsche Pakete unterzujubeln.

3. Das Signaturenhandling von apt ist suboptimal und nicht mehr zeitgerecht.

4. neulich musste ich feststellen, dass bei apt-offline auf dem Zielsystem gar
nicht mehr geprüft wird.

Gruß
Christian

-- 
http://cknoke.de
Reply to: