-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ja hallo erstmal,..
Am Donnerstag, 27. November 2003 17:09 schrieb Eduard Bloch: > Moin Jan! > > Jan Lühr schrieb am Thursday, den 27. November 2003: > > > Lern lesen. Ich schrieb nicht Pakete sondern Uploads. > > > > Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen > > an. > > Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit > existieren, und zwar durch den genannten Pfad über md5sums und > signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst, > das ist richtig, aber solange man offiziele Pakete nimmt, ist die > Authentizität nachvollziehbar. > > > > Ja, das heisst das > > > .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur > > > versehen ist. > > > > Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht > > viel bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder > > nicht echt ist. > > Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten > Quellen. Das sowieso; > > Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es > > auch nicht. > > Du hast in einer ziemlich trollhaften Weise argumentiert, sorry. Sorry, war wohl nicht klug gewählt.... > > > > nicht so überragend liegen aber auch selten krass daneben. Danach > > > > sind nur md5sums nicht aber signaturen der Maintainer in den Paketen > > > > zu finden. > > > > > > md5sums werden in Packages-Files mitgeschleppt, und die md5sums der > > > Packages-Files in Release-Files, und diese sind wiederrum signiert. > > > Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung > > > seines händisch gezogenen Paketes verstehen will, aber es gibt es. > > > > Was spräche dann gegen die Einführung eines solchen Systems? > > Zusätzlicher Aufwand und diverse andere Gründe. Um das bestehende System > benutzbarer zu machen, gibt es "APT secure". > http://monk.debian.net/apt-secure/ Danke für den Tipp. > Ansonsten, was ich viel lieber sehen würde, wäre eine Erweiterung des > existierenden "debsums"-Verfahrens: eine signierte Liste von Prüfsummen > _aller_ Dateien des Pakets, abgelegt im Paket selbst. Keine schlechte Idee. Keep smiling yanosz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8ZC8dAHMQ8GQaYRAQIDChAAlJ5jCU6ZQmXwKBn43t/fVdYasUniVRg4 QNdaPbJrKFn4Oai0mTPqMNAosozdslYqIEr6rgi8CeD16c6RoiMWYkUvgp1ZGaIs X7Mg7bgWNkRF3ylisZ8SfM32vQXWb5YMlxJiCtPEqamQjh01wUuMPiAN1NKdgnv+ eWAddiXZuqj+2oSfsn1au2jSiLCbfSFZjCWOFD5tTEX4vtGI0L3PjkV/lQgIkLkG vEEpFqv81HIr5NQS2nK8UBtgLQbu5XubFinYwl1o2iAonNTyebizwS9Skc6ISNuQ NdKkvJIAy7QsEenT5tkmAf7ErcFIVVuRFTyKHbubc2E2bT17Fo5EgzUgUp86TphD yiphRe1rPFX9PnfAHwOEjeIUpNN8CJ4qUShjJ0erqBvKo6rsVwmof9HYjgApIU4m 1uxKWNSEM1tGy8Q6Tl+9h7cxhdXRLzCXJJ9ph5fR2Im4ej6JCYh9M1bqxRaaNCdn pC2zFKSO0Xb9/OjmZQmEP4upIHnG6vkQQtW+78ULO4W9I31n5wD68JqowNYVyoTg wYXAFv7+Km7mvv9gS6OVtuH4QWnQNTSTsBDKUfzeDbshYs3LST66kAQ5ULPDCe8e EckkRcLx31J5j8eE3EOKpG8aDtwP35rguajl/u6HVKaPUb9vHMqMp3S60VVgjU2g jdvcrejULb0= =jRum -----END PGP SIGNATURE----- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)