Moin Jan! Jan Lühr schrieb am Thursday, den 27. November 2003: > > Lern lesen. Ich schrieb nicht Pakete sondern Uploads. > > Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen an.
Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit existieren, und zwar durch den genannten Pfad über md5sums und signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst, das ist richtig, aber solange man offiziele Pakete nimmt, ist die Authentizität nachvollziehbar. > > Ja, das heisst das > > .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur > > versehen ist. > > Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht viel > bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder nicht echt > ist. Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten Quellen. > Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es auch > nicht. Du hast in einer ziemlich trollhaften Weise argumentiert, sorry. > > > nicht so überragend liegen aber auch selten krass daneben. Danach sind > > > nur md5sums nicht aber signaturen der Maintainer in den Paketen zu > > > finden. > > > > md5sums werden in Packages-Files mitgeschleppt, und die md5sums der > > Packages-Files in Release-Files, und diese sind wiederrum signiert. > > Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung > > seines händisch gezogenen Paketes verstehen will, aber es gibt es. > > Was spräche dann gegen die Einführung eines solchen Systems? Zusätzlicher Aufwand und diverse andere Gründe. Um das bestehende System benutzbarer zu machen, gibt es "APT secure". http://monk.debian.net/apt-secure/ Ansonsten, was ich viel lieber sehen würde, wäre eine Erweiterung des existierenden "debsums"-Verfahrens: eine signierte Liste von Prüfsummen _aller_ Dateien des Pakets, abgelegt im Paket selbst. MfG, Eduard. -- Was bis dahin wie ich aussieht, ist nur meine Verpackung. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)