sslug-teknik team mailing list archive

Thread
Date

Re: Dårlig pakkesignatur - hvad gør jeg ?

To: sslug-teknik@xxxxxxxx
From: Jesper Krogh <jesper@xxxxxxxx>
Date: Sat, 23 Jul 2005 09:53:14 +0000 (UTC)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linuxnews
User-agent: slrn/0.9.8.1pl1 (Debian)

I sslug.teknik, skrev Keld Jørn Simonsen:
>  Den Sat, 23 Jul 2005 08:36:03 +0000. skrev Jesper Krogh:
> 
> >>  Ja, hvilke problemer sikrer det dig ikke imod?
> >>  At pakken er lavet af nogen, som har brudt ind på spejlet og lagt deres
> >>  virusbefængte pakke der?
> >> 
> >>  Kunne de ikke lægge en nøgle også der, som sagde at pakken var OK?
> > 
> > Nej, jeg håber at pakkerne er signeret med Mandriva's nøgle, som du kan
> > finde fingeraftrykket til et sted på deres website eller på
> > installations CD'erne.. 
> > 
> >>  Eller hvor skal man hente nøglerne fra?
> > 
> > Hvor du hente nøglerne fra er ikke interessant, det er interesant at du
> > verificeret at de ikke er forfalskede. 
> 
>  Joh, men hvordan gør man det, på en sikker måde?
>  Kilden, som du verificerer mod, skal være sikker.

I den ideelle verden ja. Men hvis jeg via google kan finde en side uden
relation til den jeg har hentet pakken fra og se at det er samme nøgle,
så har jeg 2 uafhængige kilder. Det er ikke umuligt at forfalske noget,
men problemet er større end jeg tror er muligt hvis det er tilfældet.
Deraf konkluderer jeg at det er "godt nok". 
 
>  jeg tror der er en del pakker der er underskrevet med en anden nøgle end
>  Mandrivas. Og så er der en del pakker der slet ikke er underskrevet.

Det er sjusk fra deres side så.
 
>  Hvad med de andre distributioner der bruger rpm, suse, fedora, har de
>  underskrifter på deres pakker? Er der noget lignende til .deb-pakker?

Debian's pakker er signeret med denne nøgle:
jesper@ibm:~$ sudo apt-key list
Password:
/etc/apt/trusted.gpg
--------------------
pub   1024R/1DB114E0 2004-01-15 [expired: 2005-01-27)]
uid                  Debian Archive Automatic Signing Key (2004)
<ftpmaster@xxxxxxxxxx>

pub   1024D/4F368D5D 2005-01-31 [expires: 2006-01-31]
uid                  Debian Archive Automatic Signing Key (2005)
<ftpmaster@xxxxxxxxxx>

(men det er kun fra "efter-sarge" tiden) Ubuntu signerer deres pakker på
lignende måde. 

Jesper
-- 
./Jesper Krogh, jesper@xxxxxxxx, Jabber ID: jesper@xxxxxxxxxxxx

Follow ups

Re: Dårlig pakkesignatur - hvad gør jeg ?
From: Keld Jørn Simonsen, 2005-07-23

References

Dårlig pakkesignatur - hvad gør jeg ?
From: Michael Schmidt, 2005-07-20
Re: Dårlig pakkesignatur - hvad gør jeg ?
From: Keld Jørn Simonsen, 2005-07-20
Re: Dårlig pakkesignatur - hvad gør jeg ?
From: Jesper Krogh, 2005-07-21
Re: Dårlig pakkesignatur - hvad gør jeg ?
From: Keld Jørn Simonsen, 2005-07-22
Re: Dårlig pakkesignatur - hvad gør jeg ?
From: Jesper Krogh, 2005-07-23
Re: Dårlig pakkesignatur - hvad gør jeg ?
From: Keld Jørn Simonsen, 2005-07-23