Jan L�hr <[EMAIL PROTECTED]> schrieb: > ja hallo erstmal,.. > > Am Donnerstag, 27. November 2003 07:54 schrieb Eduard Bloch: >> Moin Jan! >> >> Jan L�hr schrieb am Wednesday, den 26. November 2003: >> > >> > keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu >> > MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt >> > um die Echtheit zu best�tigen? >> >> Wann raffst du es endlich? Uploads werden signiert, d.h. auch die >> Pr�fsummen der Bin�r-Pakete. Was glaubst eigentlich, wie man so schnell >> die neuen 3.0r2-Pakete pr�fen konnte? > > Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind > nicht so �berragend liegen aber auch selten krass daneben. Danach sind nur > md5sums nicht aber signaturen der Maintainer in den Paketen zu finden.
Wenn du als User apt-get source machst, dann kriegst du unsignierte Pakete. Und zwar deswegen, weil die von einem buildd gemacht werden, also einer Maschine. Und Maschinen k�nnen keinen gpg-Key eingeben. Wessen auch? Wenn dagegen ein Debian-Developer Pakete nach incoming hochl�dt, dann sind die sehr wohl signiert. > Bitte was? Ich rege lediglich an, dass Maintainer und das sec-team die > authenzit�t von Paketen mit ihren gpg/pgp�-Signaturen in den Paketen selber > hinterlegen. Das tun sie ja, f�r die interne Kommunikation. Welche Probleme dabei auftreten, wenn man das nach au�en tragen will, kannst du in den Listenarchiven nachlesen. Gru�, Frank -- Frank K�ster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
