Am Donnerstag, den 30.06.2005, 00:45 +0200 schrieb Daniel Leidert: > Am Mittwoch, den 29.06.2005, 22:44 +0200 schrieb Sven Hartge: > > Andreas Pakulat <[EMAIL PROTECTED]> wrote: > > > On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: > > > > >> Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein > > >> paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen > > >> Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für > > >> Falten auf der Stirn sorgen, zumindest am Anfang. > > > > > Inwiefern? Also als Enduser meine ich? > > > > Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine > > entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, > > fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs > > installieren willst. > > Da die Pakete selbst nicht signiert sind, könnte es ein, dass apt > einfach nur die signierten Release-Dateien (Release.gpg) prüft, so wie > das ursprünglich auch mal vorgesehen war? > apt-check-sigs script, > http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign)
Ich hab es mir jetzt mal genauer angeschaut. Die Liste der Schlüssel lässt sich erweitern (man apt-key). Da auch private/inoffizielle Repositories signierte Release-Dateien erstellen können (z.B. debpool), lassen sich also auch diese in das "neue" System einbinden. > Da die Pakete selbst nicht signiert sind, könnte es ein, dass apt > einfach nur die signierten Release-Dateien (Release.gpg) prüft, so wie > das ursprünglich auch mal vorgesehen war? > apt-check-sigs script, > http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign) > > > Dieses Verhalten dürfte bei einigen für Verwunderung sorgen. > > Es wäre nur die Implementierung einer schon sehr lange diskutierten > Lösung (stand schon länger im Securing Manual). Nur steht nirgendwo, dass /etc/apt/trustdb.gpg zuerst durch den User angelegt werden muss. Wer bei offiziellen Debian-Repositorien Meldungen ala "bla konnte nicht verifiziert werden" bekommt: einfach mal su -c "apt-key list" eintippen. Das initialisiert /etc/apt/trustdb.gpg. Allerdings finde ich nirgendwo in der Dokumentation einen Hinweis darauf. Gibt es diesen Hinweis überhaupt? So ganz unwichtig erscheint er mir schließlich nicht. PS: Betreff angepasst MfG Daniel
