uname hat geschrieben: 25.01.2024 12:08:45
Sämtliche Dateien und Pakete sind signiert.
Wenn ich mal so spitzfindig sein darf: Nein, sind sie nicht.
Das ist nicht vorgesehen, da gibt es m.W. keine Möglichkeit für, die .deb-Pakete selbst enthalten keine Art von Signatur. Anscheinend
gibt oder gab es da doch eine Möglichkeit für Pakete selbst zu signieren, scheint mir aber nicht besonders verbreitet und besonders im Debian-Repo ungenutzt zu sein.
Das heißt, wenn ich von Hand eine .deb aus dem Repository herunterlade und sie dir per Mail schicke, kannst du nur mit Handarbeit sicherstellen, dass diese Paket wirklich aus deb Debian-Repo kam – du kannst es mit den Checksummen vergleichen (
als Beispiel für apt). Wenn du dieses Paket aber lokal per apt installierst, wird apt nicht versuchen sicherzustellen, dass es von einem befugten Debian-Maintainer gebaut wurde – kann es gar nicht, ohne Annahmen über die Herkunft zu treffen.
Was allerdings signiert wird, sind die Indexdateien („Release“ etc.) im Repository (
debian/dists/stable/InRelease als Beispiel). Damit wird sichergestellt, dass die Pakete, die auf irgendwelchen, auch dritten Repository-Servern liegen, wirklich dem entsprechen, was mal ein offizieller, ehrlicher Maintainer ins Debian-Repo hochgeladen hat. apt stellt dann nach dem Herunterladen sicher, dass die Signaturen heruntergeladener Pakete den signierten Signaturen im Repository entsprechen.
man apt-secure beschreibts im Detail.