On Wed, 26 Nov 2003 17:35:53 +0100, you wrote: >On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan L�hr wrote: [...] >> Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service >> keine gpg Signaturen f�r die Pakete? Wenn die Pakete auf einem nicht mit dem >> Internetverbundenen System gebaut werden und dann erst nach Erstellung einer >> Signatur hochgeladen werden, h�tte das Problem in diesem Bereich viel >> Begrenztere Ausma�e angenommen. > >Wenn es so einfach waere, gaebe es das sicherlich schon. Da es diese >Signaturen nicht gibt, scheint es offensichtlich nicht so einfach zu sein.
Soweit ich in diesem Zusammenhang in anderen Quellen gelesen habe, sind Source-Pakete signiert - nur halt die Binaries nicht. Es w�re w�nschenswert, wenn dies auch f�r Binaries kommen w�rde, dann w�ren die Aufr�umarbeiten nach einem ger�chteweise entfleuchten Passwort nicht so arbeitsintensiv. Aber mit dem Signieren allein ist es ja auch nicht getan. Als Enduser willst Du ja beispielsweise auch erkennen k�nnen, ob die Signatur von einem X-beliebigen kommt oder ob derjenige ein im Debian-Projekt autorisierter Maintainer/Developer ist. Ja, auch das l�sst sich einfach machen. Au�erdem m�ssen noch Vorkehrungen getroffen werden, falls ein Schl�ssel zur�ckgerufen wird usw. Und das alles bei den wieviel tausend Paketen? Wie Du siehst ist das ein erheblicher Verwaltungsaufwand, den man wohl bis jetzt gescheut hat. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
