Digitale Signaturen
Digitale Signaturen
Weiß jemand, wann bei Debian endlich digitale Signaturen eingesetzt werden? Die Möglichkeiten d. Sign. zu überprüfen gibt es ja schon (dpkg-sig) allerdings werden die Pakete nur ohne Signatur angeboten...
[ jabber ] chimerer@amessage.de
Tja in der Securing Debian Howto [1] steht der folgende Satz:
Ich finde es auch komisch das ein so wichtiges Thema so lange keine Beachtung geschenkt wird. Vielleicht sollte man mal die Gründe dafür näher untersuchen.
eagle
[1] http://www.de.debian.org/doc/manuals/se ... -pack-sign
Damit könnten sie recht haben wenn Sarge erste 2005 kommt - oder vielleicht eher 2007.Securing Debian Howto hat geschrieben:As of today (february 2004) Debian does not provide signed packages for the distribution and the woody release (3.0) does not integrate that feature. There is a solution for signed packages which will be, hopefully, provided in the next release (sarge).
Ich finde es auch komisch das ein so wichtiges Thema so lange keine Beachtung geschenkt wird. Vielleicht sollte man mal die Gründe dafür näher untersuchen.
eagle
[1] http://www.de.debian.org/doc/manuals/se ... -pack-sign
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
-
pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
äh.... Die Debs sind per MD5 gechecksummed, und die Checksummenliste auf den FTP Server ist digital signiert...
Was wollt Ihr denn noch? Und: Wogegen soll das helfen?
Patrick
Was wollt Ihr denn noch? Und: Wogegen soll das helfen?
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
Hmmm...
wieso kann ich dann nicht mt das Paket verifizieren? *duck*
Jedenfalls zeigt er bei jedem Paket, das ich versuche zu verifizieren, an das es nicht gesigned ist.
wieso kann ich dann nicht mt
Code: Alles auswählen
debsig-verify paketnameJedenfalls zeigt er bei jedem Paket, das ich versuche zu verifizieren, an das es nicht gesigned ist.
[ jabber ] chimerer@amessage.de
Auch wenn ich Gefahr laufen, es jemanden zu erklären der es eh besser weiß als ichpdreker hat geschrieben: Und: Wogegen soll das helfen?
:Wenn die Kette der Signaturen bis zum Ersteller reicht und diese Signaturen von einer Instanz signiert wird der man halt vertrauen kann, ist es viel schwerer die Pakete zu fälschen. Die wenigsten von uns verwenden ja den orginal Server für Updates, und selbst auf dem wurde ja schon eingebrochen. Auf einem Mirror einzubrechen und dort gefälschte Pakete zu hinterlegen dürfte deshalb nicht allzu schwer sein. Wenn es jedoch solch ein Signatursystem endlich einheitlich gibt, und apt beim runterladen die Dinger prüft, braucht man nur noch den Pubkey von der Hauptinstanz und kann prüfen ob die Pakete von orginal Debianmaintainer kommen oder ob auf dem Weg über Mirrorservern sich was anderes eingschlichen hat.
Diese eine Hauptinstanz zu schützen dürfte wohl einfacher sein, als zu vertrauen das jeder Mirror den geleichen Sicherheitsstandards entspricht. Und wenn dort trotzdem eingebrochen wird, braucht man nur den einen Key wiederrufen, einen neuen Anfertigen und die Maintainerkeys neu unterschreiben.
cu
-
pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Der Unterschied zu den signierten MD5 Listen erschliesst sich mir nicht ganz...
Der einzige Punkt ist, dass apt die Signaturen nicht durchsetzt, was aber aus offensichtlichen Gründen (inoffizielle Pakete) nicht gut wäre. Wenn apt aber die Signaturen aus dem genannten Grund nicht durchsetzt, muss der User wieder entscheiden, ob das Paket OK ist, oder nicht. Falls es gelegentlich vorkommen sollte, das aus irgendwelchen Gründen Signaturen auch bei Paketen, die OK sind 'mal nicht funktionieren, gewöhnt man sich daran, dass man gelegentlich unsignierte Pakete braucht... Damit hat man die Schutzwirkung im Prinzip schon unterlaufen.
Ausserdem werden die Debian Pakete von einem Bot gebaut. Also müsste dieser Bot auch die Pakete signieren. Das erhöht aber auch die Möglichkeit für einen Key Compromise, da die Passphrase irgendwo gespeichert sein müsste oder der Key keine PP haben darf...
Und: der Austausch des Master Keys würde bedeuten, dass *alle* ca. 17000 Pakete (nur SID) auf allen Mirrors neu signiert werden müssen...
Der eigentliche Punkt: die signierten MD5 Files reichen. Eine direkte Signatur der Pakete würde keine echte zusätzliche Sicherheit bringen, es würde die User nur in falscher Sicherheit wiegen. Das zusätzliche Fehlen eines "trusted path" macht die Signierung eh' eher zu einem Placebo...
Das Fehlen eines brauchbaren Tools zum überprüfen der MD5 Summen (Serienchecks) ist allerdings in der Tat nur eine unnötige zusätzliche Hürde...
Patrick
Der einzige Punkt ist, dass apt die Signaturen nicht durchsetzt, was aber aus offensichtlichen Gründen (inoffizielle Pakete) nicht gut wäre. Wenn apt aber die Signaturen aus dem genannten Grund nicht durchsetzt, muss der User wieder entscheiden, ob das Paket OK ist, oder nicht. Falls es gelegentlich vorkommen sollte, das aus irgendwelchen Gründen Signaturen auch bei Paketen, die OK sind 'mal nicht funktionieren, gewöhnt man sich daran, dass man gelegentlich unsignierte Pakete braucht... Damit hat man die Schutzwirkung im Prinzip schon unterlaufen.
Ausserdem werden die Debian Pakete von einem Bot gebaut. Also müsste dieser Bot auch die Pakete signieren. Das erhöht aber auch die Möglichkeit für einen Key Compromise, da die Passphrase irgendwo gespeichert sein müsste oder der Key keine PP haben darf...
Und: der Austausch des Master Keys würde bedeuten, dass *alle* ca. 17000 Pakete (nur SID) auf allen Mirrors neu signiert werden müssen...
Der eigentliche Punkt: die signierten MD5 Files reichen. Eine direkte Signatur der Pakete würde keine echte zusätzliche Sicherheit bringen, es würde die User nur in falscher Sicherheit wiegen. Das zusätzliche Fehlen eines "trusted path" macht die Signierung eh' eher zu einem Placebo...
Das Fehlen eines brauchbaren Tools zum überprüfen der MD5 Summen (Serienchecks) ist allerdings in der Tat nur eine unnötige zusätzliche Hürde...
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
