Sichere SW-Pakete bei Debian und Gentoo?

Post Reply
Message
Author
Alex

Sichere SW-Pakete bei Debian und Gentoo?

#1 Post by Alex »

SuSE-RPMs sind mit einer GPG-Signatur versehen. Wie sieht es aber bei Debian und Gentoo aus?

Mein letzter Stand ist, das bei Debian in einem späteren Release die Paketliste, die Checksummen aller Pakete enthält, signiert wird. Debian 3.0 hat dies aber nicht, oder irre ich mich?

Bei Gentoo scheint gar nichts signiert zu sein.

D.h. ein apt-get bzw. ein emerge holt unsignierte Pakete bzw. es gibt keine Liste mit signierten Checksummen. Man kann deshalb nicht sicher sein, das die Pakete wirklich von Debian oder Gentoo sind. Ein Cracker könnte einem also gefälschte Pakete unterschieben, oder?

Besteht bei Debian bzw. Gentoo irgendeine Möglichkeit vor der Installation von Paketen zu überprüfen, ob es die Orginalpakte von Debian oder Gentoo sind?

User avatar
hjb
Pro-Linux
Posts: 3264
Joined: 15. Aug 1999 16:59
Location: Bruchsal
Contact:

Re: Sichere SW-Pakete bei Debian und Gentoo?

#2 Post by hjb »

Hi!

Debian bietet nur eine Prüfsumme, und auch nur bei den Source-Paketen. Das ist ziemlich lächerlich, da die Prüfsummen auch noch zusammen mit den Paketen gespeichert werden. Sie dürften problemlos zu manipulieren sein.

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

evi

Re: Sichere SW-Pakete bei Debian und Gentoo?

#3 Post by evi »

Moin,
Bei gentoo liegen die Prüfsummen im Portagetree, praktisch eine Liste der zu Verfügung stehenden Pakete. Den saugt man sich von verschiedenen Servern.
Vor der Installation aller Programme werden die Werte verglichen.

mfg
evi

Otto

Re: Sichere SW-Pakete bei Debian und Gentoo?

#4 Post by Otto »

Das ist ja alles nicht wirklich sicher.

Von der Release-Version von Debian (Gentoo leider nicht) kann man sich die Checksummen über http://www.knowngoods.org/ besorgen. Das ist aber mühsam, die Paktete zu überprüfen. Mit dem 1. apt-get holt man sich dann auch wieder unsignierte Pakete. Schlimmer noch, wer sich Pakete aus Nicht-debian-Quellen holt (neuester KDE etc.) muss dem Autor vertrauen und dass der Server nicht gehackt wurde, von dem man diese Pakete holt.

Da scheint von der Sicherheit her ein signiertes RPM-Paket wesentlich besser.

Bei Gentoo kann man zwar den Source untersuchen, das ist jedoch zu aufwändig.

PS: Warum werden die Debian/Gentoo-Pakte oder eine Checksummen-Liste der Pakete eigentlich nicht signiert. Das scheint doch nicht schwierig zu sein. Ist das so unwichtig, dass Debian es schon wieder verschoben hat? Das sollte doch ursprünglich in R3.0.

PS2: Sind jetzt alle RPM-Distris sichere als Deb- und Source-Pakete? <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

nein

Re: Sichere SW-Pakete bei Debian und Gentoo?

#5 Post by nein »

sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.

siehe ksirc wo der server gehackt wurde und ein trojaner impliziert wurde.

PS: gibt es vertrauenswürdige downloadquellen??? NEIN... den betreibern/entwicklern kann man "vielleicht" trauen, doch wenn das server gecrackt wird ist es rum, selbst mit der gpg-signatur.

Otto

Re: Sichere SW-Pakete bei Debian und Gentoo?

#6 Post by Otto »

Wenn der Server gecrackt wird, können zwar die Pakete auf dem Rechner ausgetauscht werden, aber die Signatur stimmt dann nicht oder fehlt. Der private Schlüssel muss auf einem anderen Rechner sein, sonst wäre das fahrlässig.

Somit hat man da schon eine gewisse Sicherheit. (Der private Schlüssel könnte natürlich auch in fremde Hände fallen).

KDE3-Pakete für SuSE von kde.org sind mit dem Schlüssel von SuSE signiert. Egal auf welchen Server, an der Signatur sind sie zu erkennen.

>>sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.<<

Wieso sollte es sicherer sein, eine Distri incl. Pakete zu holen. Besteht die Distri aus ISO-Files, können diese auch verändert worden sein.

Erich

Re: Sichere SW-Pakete bei Debian und Gentoo?

#7 Post by Erich »

<Wenn der Server gecrackt wird, können zwar die Pakete auf dem Rechner ausgetauscht werden, aber die Signatur stimmt dann nicht oder fehlt. Der private Schlüssel muss auf einem anderen Rechner sein, sonst wäre das fahrlässig.>

gentoo wird komplett aus dem netz installiert, meistens. das heisst, der portage-tree mit den signierungen wird über das netz übertragen. habe ich gefälschte signierungen geladen so hilft mir das auch nicht.

<Wieso sollte es sicherer sein, eine Distri incl. Pakete zu holen. Besteht die Distri aus ISO-Files, können diese auch verändert worden sein.>

eine cd zu kaufen ist was anderes als eine installation über inet. man darf davon ausgehen dass z.b. suse pakete ausliefert die OK sind. das heisst dass die iso-files auch OK sind... das ist ein kleiner unterschied gegenüber einer netzinstallation.

< >>sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.<< >


grundsätzlich kann man es als unsicher bezeichnen eine installation über inet durchzuführen, allerdings kann man wohl drauf vertrauen dass eventuelle fehler (gecrackter server z.b.) gemeldet werden und man die wahl hat neu zu installieren oder nicht.
da es aber noch andere möglichkeiten gibt manipulationen durchzuführen ist es allgemein als unsicher zu kennzeichnen.
aber da man ja die wahl hat.......ich persönlich nutze auch gentoo über netz installation.

Otto

Re: Sichere SW-Pakete bei Debian und Gentoo?

#8 Post by Otto »

>>habe ich gefälschte signierungen geladen so hilft mir das auch nicht.<<
Sind die Pakete mit einem geheimen Schlüssel signiert, so kann man die Echtheit mit einem öffentlichen Schlüssel überprüfen.( http://www.gnupg.org/) Installiert man SuSE von gekaufter CD ist der öffentliche Schlüssel mit installiert. Damit kann man alle Pakete - auch die aus dem Internet - überprüfen. SuSE hat diese mit einem privaten Schlüssel signiert. D.h. nur wer diesen Schlüssel besitzt kann signieren. Gentoo scheint also nur Checksummen zu benutzten, oder? Diese könnte man zusammen mit einem gefälschten Paket austauschen. Das ist nicht so sicher.

>>eine cd zu kaufen<<
Auch so war das gemeint. Also nicht ISOs aus dem Netz ziehen. Dann natürlich: ACK.

riser

Re: Sichere SW-Pakete bei Debian und Gentoo?

#9 Post by riser »

>Gentoo scheint also nur Checksummen zu benutzten, oder?

Zur Zeit ja. Wobei anzumerken wäre, daß die Prüfsummen auch automatisch(!)
benutzt werden, also nicht ungenutzt auf dem System herumliegen.

>Diese könnte man zusammen mit einem gefälschten Paket austauschen.

Nein, die Prüfsummen werden vom "RSYNC Server" geladen, der Sourcecode
von einem anderen, aber daß hat ja schon evi geschrieben. Der Angreifer muß also in zwei Systeme rein.

>Das ist nicht so sicher.

Naja, immerhin...

Thanks ..., and Gentoo's Portage system for catching
the trojaned files via checksums.
(http://www.hlug.org/trojan/)

Otto

Re: Sichere SW-Pakete bei Debian und Gentoo?

#10 Post by Otto »

Slackware bietet für seine Pakete eine GPG-Signatur.

Post Reply