Am Dienstag, den 12.09.2006, 10:56 +0200 schrieb Alexander Schmehl: > * Evgeni Golov <[EMAIL PROTECTED]> [060912 10:00]: > > > Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert > > ist, und due den Publickey importiert hast, wird es überprüfen, ob das > > Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht > > fehlschlägt, siehst du davon nichts. > > Kleine Korrektur: Nicht die Pakete sind per gpg signiert, sondern die > Release-Datei [1], [2]. [..] > > Der Hauptgrund nicht die Pakete selbst zu signieren ist AFAIK > Rechenleistung; das derzeitige Verfahren ist hinreichend sicher und > resourcenschonender als jedes Paket einzeln zu signieren.
Wird aber auch im "Securing Manual" beschrieben (für die, die es interessiert). [..] > Links: > 1: http://ftp.de.debian.org/debian/dists/testing/Release > 2: http://ftp.de.debian.org/debian/dists/testing/Release.gpg http://wiki.debian.org/SecureApt man apt-secure http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign MfG Daniel