Signaturen für Paketquellen einpflegen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
mathew123
Beiträge: 142
Registriert: 07.03.2011 16:05:21

Signaturen für Paketquellen einpflegen

Beitrag von mathew123 » 20.04.2011 11:14:13

Kann mir jemand erklären, wie das funktioniert mit den Signaturen für Packetquellen? Wie pflegt man diese richtig ein? Wo bekomme ich den entsprechenden Schlüssel her für eine Quelle? Kann man diesen auf den Websites immer nachschauen?


Besten Dank

M.
Keep it simple: Windows ist scheiße!

schauinsland
Beiträge: 455
Registriert: 19.11.2007 11:17:40

Re: Signaturen für Paketquellen einpflegen

Beitrag von schauinsland » 20.04.2011 12:14:20

Das Thema ist gut erklärt auf wiki.debian.org/SecureApt. Es ist sinnvoll, sich zumindest Grundlagen zu Verschlüsselung allgemein, OpenPGP und GnuPG klar zu machen.

Die Schlüssel sind teilweise in Paketen innerhalb der repositories vorhanden. Bei den repositories von Drittanbietern - und um die geht es Dir ja wahrscheinlich in der Hauptsache - lädt man den öffentlichen Schlüssel i. S. GnuPG / OpenPGP meist direkt lokal herunter und integriert ihn mit dem Befehl apt-key in Apt. Das Herunterladen geht entweder über HTTP oder mittels GnuPG von einem keyserver.

Im Fall von HTTP erfolgt das Herunterladen üblicher Weise mit wget, der Schlüssel kann direkt per pipe an apt-key übergeben werden. Beispiel virtualbox.org:

Code: Alles auswählen

# wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc -O - | apt-key add -
Bei GnuPG muss der Schlüssel erst lokal gespeichert und dann an apt-key übergeben werden. Beispiel PPA repository von Ubuntu (wirklich nur als Beispiel, weil mir gerade kein anderes externes repository einfällt; Einsatz unter Debian mit äußerster Vorsicht zu genießen)

Code: Alles auswählen

# gpg2 --keyserver keyserver.ubuntu.com --recv-keys A1F196A8
# gpg2 --list-keys
# gpg2 --armor --export A1F196A8 | apt-key add -
In Apt importierte Schlüssel können jederzeit mit

Code: Alles auswählen

# apt-key list
eingesehen werden.
Zur Syntax der beteiligten Befehl vgl. man <Befehl>.

mathew123
Beiträge: 142
Registriert: 07.03.2011 16:05:21

Re: Signaturen für Paketquellen einpflegen

Beitrag von mathew123 » 28.04.2011 20:27:59

wo finde ich z.b. hier: http://ftp-stud.hs-esslingen.de/ den key? ich wollte einen einpflegen, habe ihn aber nicht finden können auf der website. mir geht es hierbei um non-free.
Keep it simple: Windows ist scheiße!

Antworten