[linux-l] Sicheres Update/Installation von Packages

[Sven 'Rae the Git' Grounsell]

On Tue, 20 Jul 2004 03:19:02 +0100
"neodaxus at gmx.net" <neodaxus at gmx.net> wrote:

> Hallo,
> 
> theoretisch ist es möglich, daß modifizierte Packages für
> Linux-Distros in Umlauf gebracht werden, um Backdoors schaffen
> (Beispiele: mittels gehacktem Server/Mirror, falsches Routing,
> Betreiben eines Servers mit manipulierten Inhalten).
> 
> Ich frage mich, welche Distros sich auf welchem Wege dagegen
> schützen.
> 
> Ein MD5 ist nur dann ein wirksamer Schutz, wenn dieser mit einer auf
> dem zu updatenden System befindlichen Liste übereinstimmt.
> 
> Beim Update dieser Liste müßte wiederum sichergestellt sein, daß
> diese von einer vertrauenswürdigen Quelle stammt und nicht verändert
> wurde.
> 
> Angeblich wird für manche Debian-Packages noch nicht einmal ein MD5
> angegeben (?). Bei Gentoo weiß ich nicht, ob das Listenupdate
> gesichert erfolgt (?).
> 
> Weiß jemand etwas über SuSE (YOU + Yast)?

Bei SuSE, Gentoo, etc. weiss ich nicht, wie es laeuft, aber bei Debian
sieht es meines Wissens nach so aus, dass zumindest auf den
offiziellen (!) Repositories fuer jedes Paket MD5-Summen bereitstehen.
Wenn mich nicht Alles taeuscht sind sie auch von den
Package-Maintainern signiert, deren Schluessel sich an geeigneter
Stelle (ich glaube sogar als Package) befinden, damit sich jeder von
der Echtheit ueberzeugen kann.

Man moege mich jedoch gerne korrigieren, wenn ich falsch liege.

Dass fuer .debs keine Checksummen vorliegen kann ich mir bei einigen
schlecht gepflegten inoffiziellen Repositories durchaus vorstellen,
aber diese nimmt man nur aus Bequemlichkeit und da ist auch niemand
gezwungen, den Erstellern der Pakete zu vertrauen.

Ich hoffe, zumindest fuer Debian ein wenig licht ins Dunkel gebracht
zu haben.

Gruss
Sven

-- 
http://www.tuxhilfe.de/
sven at tuxhilfe dot de