Hi! * Evgeni Golov <[EMAIL PROTECTED]> [060912 10:00]:
> Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert > ist, und due den Publickey importiert hast, wird es überprüfen, ob das > Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht > fehlschlägt, siehst du davon nichts. Kleine Korrektur: Nicht die Pakete sind per gpg signiert, sondern die Release-Datei [1], [2]. Da steht drin, für welche Architekturen es dieses Archiv gibt, und wann es aktualisiert wurde, und wo sich die Packages-Datei(en) beginden und die md5-Summe selbiger. In Packages stehen dann wiederrum die md5-Summen der einzelnen Pakete, so dass apt sich von vertrauenswürdig signierter Release-Datei, über korrekte Packages-Datei zu korrektem Paket hangeln kann. Der Hauptgrund nicht die Pakete selbst zu signieren ist AFAIK Rechenleistung; das derzeitige Verfahren ist hinreichend sicher und resourcenschonender als jedes Paket einzeln zu signieren. Rest der Mail stimmte aber ;) Links: 1: http://ftp.de.debian.org/debian/dists/testing/Release 2: http://ftp.de.debian.org/debian/dists/testing/Release.gpg Yours sincerely, Alexander -- http://learn.to/quote/ http://www.catb.org/~esr/faqs/smart-questions.html
signature.asc
Description: Digital signature