Moin Jan! Jan L�hr schrieb am Thursday, den 27. November 2003: > > Lern lesen. Ich schrieb nicht Pakete sondern Uploads. > > Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen an.
Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit existieren, und zwar durch den genannten Pfad �ber md5sums und signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst, das ist richtig, aber solange man offiziele Pakete nimmt, ist die Authentizit�t nachvollziehbar. > > Ja, das heisst das > > .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur > > versehen ist. > > Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht viel > bringt. z.B. k�nnte ich nicht sagen, ob die deb zu ssh echt oder nicht echt > ist. Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten Quellen. > K�nnen wir bitte auf pers�nliche Deformierungen verzichten? Ich mache es auch > nicht. Du hast in einer ziemlich trollhaften Weise argumentiert, sorry. > > > nicht so �berragend liegen aber auch selten krass daneben. Danach sind > > > nur md5sums nicht aber signaturen der Maintainer in den Paketen zu > > > finden. > > > > md5sums werden in Packages-Files mitgeschleppt, und die md5sums der > > Packages-Files in Release-Files, und diese sind wiederrum signiert. > > Schoen, es ist nicht das Verfahren, dass 0815-User zur �berpr�fung > > seines h�ndisch gezogenen Paketes verstehen will, aber es gibt es. > > Was spr�che dann gegen die Einf�hrung eines solchen Systems? Zus�tzlicher Aufwand und diverse andere Gr�nde. Um das bestehende System benutzbarer zu machen, gibt es "APT secure". http://monk.debian.net/apt-secure/ Ansonsten, was ich viel lieber sehen w�rde, w�re eine Erweiterung des existierenden "debsums"-Verfahrens: eine signierte Liste von Pr�fsummen _aller_ Dateien des Pakets, abgelegt im Paket selbst. MfG, Eduard. -- Was bis dahin wie ich aussieht, ist nur meine Verpackung. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
