Mailinglist Archive: opensuse-de (1852 mails)
| < Previous | Next > |
Re: Packmanninstallationsquelle in Yast bei 10.1
- From: Christian Boltz <suse@xxxxxxxxx>
- Date: Tue, 16 May 2006 02:04:20 +0200
- Message-id: <200605160204.20815@xxxxxxxxxxxxxxx>
Hallo Dennis, hallo Leute,
Am Montag, 15. Mai 2006 21:03 schrieb Dennis Neumeier:
> [Johannes Kastl]
> > Schon mal dran gedacht dass dir dann keiner mehr irgend ein Paket
> > unterjubeln kann? Weil die Pakete "digitally signed" sind?
>
> Gegenfrage: Wer bestimmt denn, welche Pakete digitally signed sind?
> Und mal ganz ehrlich: Ich sehe die persönliche Freiheit unter Linux,
> mir meine Sachen selbst aussichen zu können mehr als die Sicherheit,
> die mir von jemanden mir Unbekannten untergeschoben wird.
[...]
> Versteht mich nicht falsch - ich will hier garantiert nicht
> rumstänkern.
Genau so liest sich Deine Mail aber - auch wenn es anscheinend nicht
Deine Absicht war.
> Nur ist es mir wichtig, zum Nachdenken anzuregen, was
> diesen Punkt betrifft.
Vielleicht wäre es sinnvoller gewesen, wenn Du Dich zuerst mal
informierst, über was Du eigentlich redest ;-)
Na gut, Du bekommst gleich mal etwas Futter *g*
Hier ein Kurzüberblick über signierte Installationsquellen - ich hoffe,
dass es einigermaßen vollständig und richtig ist ;-)
### Was wird signiert?
Signiert werden die "Metadaten" der Installationsquelle - also
beispielsweise die Dateiliste mit allen Paketen.
Die Installationsmedien enthalten die vertrauenswürdigen Keys in der
initrd - wenn man also die erste CD verifiziert hat, kann man dem Rest
der Installation automatisch vertrauen.
Außerdem ist jedes einzelne RPM-Paket mit GPG signiert - das ist
allerdings nicht neu, sondern schon seit Jahren so.
### Wer kann signieren?
Jeder, der einen GPG-Key hat. (Wer keinen hat, kann sich jederzeit einen
erstellen.)
Bei SUSE-Installationsquellen signiert natürlich SUSE ;-)
Eigene Installationsquellen kann man mit ein paar Befehlen selbst
signieren (siehe Links am Ende der Mail).
### Wie wird ein Key "trusted"?
Indem man ihn in die RPM-Datenbank importiert (rpm --import).
(Der SUSE-Key ist aus naheliegenden Gründen bereits eingetragen.)
Will man eine Installationsquelle bereits während der Installation
verwenden, muss der Key in der initrd des Bootmediums sein.
### Weitere Infos
- http://en.opensuse.org/Secure_Installation_Sources
- https://bugzilla.novell.com/show_bug.cgi?id=166011
- Programmcode von makeSUSEdvd
- Mailinglisten-Archive von opensuse und opensuse-factory
### Fazit
Die einzigen, die in ihrer Freiheit beschnitten werden, sind Angreifer,
die Dir falsche Pakete unterjubeln wollen ;-)
AFAIK kannst Du auch weiterhin unsignierte Pakete und
Installationsquellen verwenden - allerdings ohne die oben erwähnten
Vorteile bezüglich Sicherheit.
Na, bist Du immer noch gegen signierte Installationsquellen?
Gruß
Christian Boltz
--
> Ein Massenprovider hat nun mal jede Menge Kunden, und 10% Idioten
> sind halt immer dabei.
Die stoeren mich gar nicht. Die 75 % Vollidioten schon eher.
[Roman Niederdrenk und Hans Bonfigt in doc]
Am Montag, 15. Mai 2006 21:03 schrieb Dennis Neumeier:
> [Johannes Kastl]
> > Schon mal dran gedacht dass dir dann keiner mehr irgend ein Paket
> > unterjubeln kann? Weil die Pakete "digitally signed" sind?
>
> Gegenfrage: Wer bestimmt denn, welche Pakete digitally signed sind?
> Und mal ganz ehrlich: Ich sehe die persönliche Freiheit unter Linux,
> mir meine Sachen selbst aussichen zu können mehr als die Sicherheit,
> die mir von jemanden mir Unbekannten untergeschoben wird.
[...]
> Versteht mich nicht falsch - ich will hier garantiert nicht
> rumstänkern.
Genau so liest sich Deine Mail aber - auch wenn es anscheinend nicht
Deine Absicht war.
> Nur ist es mir wichtig, zum Nachdenken anzuregen, was
> diesen Punkt betrifft.
Vielleicht wäre es sinnvoller gewesen, wenn Du Dich zuerst mal
informierst, über was Du eigentlich redest ;-)
Na gut, Du bekommst gleich mal etwas Futter *g*
Hier ein Kurzüberblick über signierte Installationsquellen - ich hoffe,
dass es einigermaßen vollständig und richtig ist ;-)
### Was wird signiert?
Signiert werden die "Metadaten" der Installationsquelle - also
beispielsweise die Dateiliste mit allen Paketen.
Die Installationsmedien enthalten die vertrauenswürdigen Keys in der
initrd - wenn man also die erste CD verifiziert hat, kann man dem Rest
der Installation automatisch vertrauen.
Außerdem ist jedes einzelne RPM-Paket mit GPG signiert - das ist
allerdings nicht neu, sondern schon seit Jahren so.
### Wer kann signieren?
Jeder, der einen GPG-Key hat. (Wer keinen hat, kann sich jederzeit einen
erstellen.)
Bei SUSE-Installationsquellen signiert natürlich SUSE ;-)
Eigene Installationsquellen kann man mit ein paar Befehlen selbst
signieren (siehe Links am Ende der Mail).
### Wie wird ein Key "trusted"?
Indem man ihn in die RPM-Datenbank importiert (rpm --import).
(Der SUSE-Key ist aus naheliegenden Gründen bereits eingetragen.)
Will man eine Installationsquelle bereits während der Installation
verwenden, muss der Key in der initrd des Bootmediums sein.
### Weitere Infos
- http://en.opensuse.org/Secure_Installation_Sources
- https://bugzilla.novell.com/show_bug.cgi?id=166011
- Programmcode von makeSUSEdvd
- Mailinglisten-Archive von opensuse und opensuse-factory
### Fazit
Die einzigen, die in ihrer Freiheit beschnitten werden, sind Angreifer,
die Dir falsche Pakete unterjubeln wollen ;-)
AFAIK kannst Du auch weiterhin unsignierte Pakete und
Installationsquellen verwenden - allerdings ohne die oben erwähnten
Vorteile bezüglich Sicherheit.
Na, bist Du immer noch gegen signierte Installationsquellen?
Gruß
Christian Boltz
--
> Ein Massenprovider hat nun mal jede Menge Kunden, und 10% Idioten
> sind halt immer dabei.
Die stoeren mich gar nicht. Die 75 % Vollidioten schon eher.
[Roman Niederdrenk und Hans Bonfigt in doc]
| < Previous | Next > |