[linux-l] Sicheres Update/Installation von Packages

[neodaxus at gmx.net]

Hallo,

theoretisch ist es möglich, daß modifizierte Packages für Linux-Distros
in Umlauf gebracht werden, um Backdoors schaffen (Beispiele: mittels
gehacktem Server/Mirror, falsches Routing, Betreiben eines Servers mit
manipulierten Inhalten).

Ich frage mich, welche Distros sich auf welchem Wege dagegen schützen.

Ein MD5 ist nur dann ein wirksamer Schutz, wenn dieser mit einer auf dem
zu updatenden System befindlichen Liste übereinstimmt.

Beim Update dieser Liste müßte wiederum sichergestellt sein, daß diese
von einer vertrauenswürdigen Quelle stammt und nicht verändert wurde.

Angeblich wird für manche Debian-Packages noch nicht einmal ein MD5
angegeben (?). Bei Gentoo weiß ich nicht, ob das Listenupdate gesichert 
erfolgt (?).

Weiß jemand etwas über SuSE (YOU + Yast)?

Danke,

Christian