Am Dienstag, den 09.08.2005, 23:32 +0200 schrieb Andreas Pakulat:
> On 09.Aug 2005 - 22:33:23, Markus Schulz wrote:
[..]
> > Vielleicht wird dort auch das Packages.gz (ist doch das was signiert 
> > wird oder?) nicht korrekt signiert?

Es wird eine Release-Datei im Verzeichniskopf einer jeden Distribution
(Sid, Sarge, Etch, ...) erstellt und signiert.

> Die Release-Datei wird signiert und mir daemmerts langsam wo das Problem
> sein koennte (s.u.).
> 
> > So genau hab ich mich mit der Thematik aber noch nicht befaßt.
> 
> Ich wollte, aber man findet nur sehr spaerlich Info's (oder ich hab die
> falschen Google-Schlagwoerter).

Die Infos befinden sich im Securing Howto (Kapitel 6 oder 7, IIRC
7.1-7.4)

> Auch in der Manpage von apt-key oder im
> apt-howto wird derlei nicht ausfuehrlich beschrieben :-(
> 
> Mich wuerde naemlich auch interessieren wie ich das Signieren fuer mein
> privates kleines Repository hinkriege...

Einige Applikationen zum Erstellen von Repositorien können das (z.B.
debpool, dak, reprepro, bei debarchiver in Arbeit). Ansonsten wäre hier
eine Anregung (Originalquelle:
http://ccdw.org/~cjj/files/debs/update_list - aber leider nicht mehr
lesbar): http://debian.wgdd.de/stuff/signed-release

MfG Daniel

Antwort per Email an