Hallo Christian,
nur meine 5 Cent:
Wir bieten aber nur Prüfsummen (MD5) an. Mit einer Prüfsumme kann
bestenfalls die Integrität der Daten festgestellt werden, nicht aber
deren Authentizität.
So ein wischi-waschi. Wenn Du der Quelle der MD5-Sum vertraust, dann ist
anhand der md5sum auch die authentizität gesichert.
md5sum kann gehackt werden, wie der Artikel unter
<http://www.mscs.dal.ca/~selinger/md5collision> zeigt, also würde ich das
so nicht behaupten.
Und die würde auch erst was bringen, wenn Du einen Schlüssel hast, dem
Du vertraust. Im üblichen Fall beziehst Du den Schlüssel aus der Selben
Quelle, vom selben Server wie auch den Download/die Signatur des
Downloads, der Schlüssel wird nicht wirklich überprüft, ihm wird blind
vertraut. In so einem Fall hast Du überhaupt keinen Vorteil gegenüber
einfachen MD5-Summen.
Ich würde es nicht als normal betrachten, bspw. einen PGP Schlüssel vom
Downloadserver zu ziehen, sondern natürlich von einem offiziellen Public
Key Server.
Gruß
Guido
---------------------------------------------------------------------
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]
