Am Dienstag, 9. Dezember 2008 23:53:42 schrieb Karl Weber:
Am Dienstag, 9. Dezember 2008 23:42 schrieb Anton Roeder:
Karl Weber schrieb:
Verschluesselung?
Hab ich bisher bei repos noch nicht gesehen. Sind ja auch meistens einfache http- oder ftp-Server, nix -s, also nix Verschlüsselung. Die Schlüssel sind zum signieren der Pakete und zum Überprüfen da, nicht zur Verschlüsselung der Kommunikation.
Welchen Schluessel zeigt YaST dann genau an? Einen, mit dem sich die Gegenseite der Kommunikation identifiziert, oder den, mit dem die Pakete signiert sind? Ich dachte, erstes, aber es sollte dann wohl letzteres sein.
Kann ich die Signatur nach dem Download auch manuell pruefen? Wenn ja, wie?
-Karl.
Wir auch automatisch gemacht. Das funktioniert wie mit dem Signieren der Mails, der Author(bzw. das Repo) hat einen Schlüssel, mit dem er einem Gewissen Satz Daten (z.B. RPM Pakete) signiert. Wenn du jetzt über YaST was aktualisieren tust (ohne vorher groß an der config rumgepfutscht zu haben), lädt YaST sowohl Datei als auch dazugehörige Signatur herunter(bzw. diese Befinde sich in der Paketliste soweit ich weiß) und vergleicht diese. Falls die Checksumme übereinstimmt installiert YaST einfach (no news is good news!). Falls es Abweichungen gibt, schlägt es an und weißt darauf hin (je nach Paketmanager verweigert er auch komplett die Installation). Dieses Verfahren sichert ab, das die Pakete von ihrer Erstellung bis bei dir auf dem Rechner nicht verändert wurden (Der Mirror signiert keine Pakete, er könnte es zwar theoretisch probieren, dann würde YaST aber darauf hinweisen, das es den Schlüssel bisher nicht kennt und fragt ob man ihm vertrauen will). Was dieses Verfahren _NICHT_ tut: - Es ist keine Verschlüsselte Kommunikation (wieso auch?) - Es stellt nicht sicher, das es sich nicht um Schadsoftware handelt! (Da muss man dem Paket-Packer vertrauen - oder eben nicht) Grüße Michael (Dessen Mail ebenfalls mit seinem öffentlichen Schlüssel signiert ist, jetzt kannst du hergehen und gucken ob der Schlüssel mit der ID 707C1B5BFCE5399A wirklich zu mir gehört z.B. indem du auf meiner Homepage nachsiehst[0] oder mich auf einem "sicheren Weg" kontaktierst. Wenn das der Fall ist und die Signatur nicht beschädigt ist, kannst du davon ausgehen, das meine Mail auf dem Weg zu dir nicht verändert worden ist. Das ist der Zweck der Signatur. Diese Mail ist jedoch weder verschlüsselt, noch garantiert das sie dabei um Spam(Hier jetzt mal Stellvertretend für Schadsoftware) handelt. [0] http://www.michael-skiba.de/about.php