Jan Lühr <[EMAIL PROTECTED]> schrieb: > ja hallo erstmal,.. > > Am Donnerstag, 27. November 2003 07:54 schrieb Eduard Bloch: >> Moin Jan! >> >> Jan Lühr schrieb am Wednesday, den 26. November 2003: >> > >> > keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu >> > MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt >> > um die Echtheit zu bestätigen? >> >> Wann raffst du es endlich? Uploads werden signiert, d.h. auch die >> Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell >> die neuen 3.0r2-Pakete prüfen konnte? > > Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind > nicht so überragend liegen aber auch selten krass daneben. Danach sind nur > md5sums nicht aber signaturen der Maintainer in den Paketen zu finden.
Wenn du als User apt-get source machst, dann kriegst du unsignierte Pakete. Und zwar deswegen, weil die von einem buildd gemacht werden, also einer Maschine. Und Maschinen können keinen gpg-Key eingeben. Wessen auch? Wenn dagegen ein Debian-Developer Pakete nach incoming hochlädt, dann sind die sehr wohl signiert. > Bitte was? Ich rege lediglich an, dass Maintainer und das sec-team die > authenzität von Paketen mit ihren gpg/pgp-Signaturen in den Paketen selber > hinterlegen. Das tun sie ja, für die interne Kommunikation. Welche Probleme dabei auftreten, wenn man das nach außen tragen will, kannst du in den Listenarchiven nachlesen. Gruß, Frank -- Frank Küster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
