Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Sichere SW-Pakete bei Debian und Gentoo?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Alex
Gast





BeitragVerfasst am: 15. Feb 2003 18:21   Titel: Sichere SW-Pakete bei Debian und Gentoo?

SuSE-RPMs sind mit einer GPG-Signatur versehen. Wie sieht es aber bei Debian und Gentoo aus?

Mein letzter Stand ist, das bei Debian in einem späteren Release die Paketliste, die Checksummen aller Pakete enthält, signiert wird. Debian 3.0 hat dies aber nicht, oder irre ich mich?

Bei Gentoo scheint gar nichts signiert zu sein.

D.h. ein apt-get bzw. ein emerge holt unsignierte Pakete bzw. es gibt keine Liste mit signierten Checksummen. Man kann deshalb nicht sicher sein, das die Pakete wirklich von Debian oder Gentoo sind. Ein Cracker könnte einem also gefälschte Pakete unterschieben, oder?

Besteht bei Debian bzw. Gentoo irgendeine Möglichkeit vor der Installation von Paketen zu überprüfen, ob es die Orginalpakte von Debian oder Gentoo sind?
 

hjb
Pro-Linux


Anmeldungsdatum: 15.08.1999
Beiträge: 3236
Wohnort: Bruchsal

BeitragVerfasst am: 15. Feb 2003 19:12   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

Hi!

Debian bietet nur eine Prüfsumme, und auch nur bei den Source-Paketen. Das ist ziemlich lächerlich, da die Prüfsummen auch noch zusammen mit den Paketen gespeichert werden. Sie dürften problemlos zu manipulieren sein.

Gruß,
hjb
_________________
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen MSN Messenger

evi
Gast





BeitragVerfasst am: 17. Feb 2003 19:22   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

Moin,
Bei gentoo liegen die Prüfsummen im Portagetree, praktisch eine Liste der zu Verfügung stehenden Pakete. Den saugt man sich von verschiedenen Servern.
Vor der Installation aller Programme werden die Werte verglichen.

mfg
evi
 

Otto
Gast





BeitragVerfasst am: 21. Feb 2003 13:06   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

Das ist ja alles nicht wirklich sicher.

Von der Release-Version von Debian (Gentoo leider nicht) kann man sich die Checksummen über http://www.knowngoods.org/ besorgen. Das ist aber mühsam, die Paktete zu überprüfen. Mit dem 1. apt-get holt man sich dann auch wieder unsignierte Pakete. Schlimmer noch, wer sich Pakete aus Nicht-debian-Quellen holt (neuester KDE etc.) muss dem Autor vertrauen und dass der Server nicht gehackt wurde, von dem man diese Pakete holt.

Da scheint von der Sicherheit her ein signiertes RPM-Paket wesentlich besser.

Bei Gentoo kann man zwar den Source untersuchen, das ist jedoch zu aufwändig.

PS: Warum werden die Debian/Gentoo-Pakte oder eine Checksummen-Liste der Pakete eigentlich nicht signiert. Das scheint doch nicht schwierig zu sein. Ist das so unwichtig, dass Debian es schon wieder verschoben hat? Das sollte doch ursprünglich in R3.0.

PS2: Sind jetzt alle RPM-Distris sichere als Deb- und Source-Pakete?
 

nein
Gast





BeitragVerfasst am: 22. Feb 2003 16:57   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.

siehe ksirc wo der server gehackt wurde und ein trojaner impliziert wurde.

PS: gibt es vertrauenswürdige downloadquellen??? NEIN... den betreibern/entwicklern kann man "vielleicht" trauen, doch wenn das server gecrackt wird ist es rum, selbst mit der gpg-signatur.
 

Otto
Gast





BeitragVerfasst am: 25. Feb 2003 14:32   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

Wenn der Server gecrackt wird, können zwar die Pakete auf dem Rechner ausgetauscht werden, aber die Signatur stimmt dann nicht oder fehlt. Der private Schlüssel muss auf einem anderen Rechner sein, sonst wäre das fahrlässig.

Somit hat man da schon eine gewisse Sicherheit. (Der private Schlüssel könnte natürlich auch in fremde Hände fallen).

KDE3-Pakete für SuSE von kde.org sind mit dem Schlüssel von SuSE signiert. Egal auf welchen Server, an der Signatur sind sie zu erkennen.

>>sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.<<

Wieso sollte es sicherer sein, eine Distri incl. Pakete zu holen. Besteht die Distri aus ISO-Files, können diese auch verändert worden sein.
 

Erich
Gast





BeitragVerfasst am: 25. Feb 2003 15:54   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

<Wenn der Server gecrackt wird, können zwar die Pakete auf dem Rechner ausgetauscht werden, aber die Signatur stimmt dann nicht oder fehlt. Der private Schlüssel muss auf einem anderen Rechner sein, sonst wäre das fahrlässig.>

gentoo wird komplett aus dem netz installiert, meistens. das heisst, der portage-tree mit den signierungen wird über das netz übertragen. habe ich gefälschte signierungen geladen so hilft mir das auch nicht.

<Wieso sollte es sicherer sein, eine Distri incl. Pakete zu holen. Besteht die Distri aus ISO-Files, können diese auch verändert worden sein.>

eine cd zu kaufen ist was anderes als eine installation über inet. man darf davon ausgehen dass z.b. suse pakete ausliefert die OK sind. das heisst dass die iso-files auch OK sind... das ist ein kleiner unterschied gegenüber einer netzinstallation.

< >>sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.<< >


grundsätzlich kann man es als unsicher bezeichnen eine installation über inet durchzuführen, allerdings kann man wohl drauf vertrauen dass eventuelle fehler (gecrackter server z.b.) gemeldet werden und man die wahl hat neu zu installieren oder nicht.
da es aber noch andere möglichkeiten gibt manipulationen durchzuführen ist es allgemein als unsicher zu kennzeichnen.
aber da man ja die wahl hat.......ich persönlich nutze auch gentoo über netz installation.
 

Otto
Gast





BeitragVerfasst am: 25. Feb 2003 18:33   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

>>habe ich gefälschte signierungen geladen so hilft mir das auch nicht.<<
Sind die Pakete mit einem geheimen Schlüssel signiert, so kann man die Echtheit mit einem öffentlichen Schlüssel überprüfen.( http://www.gnupg.org/) Installiert man SuSE von gekaufter CD ist der öffentliche Schlüssel mit installiert. Damit kann man alle Pakete - auch die aus dem Internet - überprüfen. SuSE hat diese mit einem privaten Schlüssel signiert. D.h. nur wer diesen Schlüssel besitzt kann signieren. Gentoo scheint also nur Checksummen zu benutzten, oder? Diese könnte man zusammen mit einem gefälschten Paket austauschen. Das ist nicht so sicher.

>>eine cd zu kaufen<<
Auch so war das gemeint. Also nicht ISOs aus dem Netz ziehen. Dann natürlich: ACK.
 

riser
Gast





BeitragVerfasst am: 26. Feb 2003 4:28   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

>Gentoo scheint also nur Checksummen zu benutzten, oder?

Zur Zeit ja. Wobei anzumerken wäre, daß die Prüfsummen auch automatisch(!)
benutzt werden, also nicht ungenutzt auf dem System herumliegen.

>Diese könnte man zusammen mit einem gefälschten Paket austauschen.

Nein, die Prüfsummen werden vom "RSYNC Server" geladen, der Sourcecode
von einem anderen, aber daß hat ja schon evi geschrieben. Der Angreifer muß also in zwei Systeme rein.

>Das ist nicht so sicher.

Naja, immerhin...

Thanks ..., and Gentoo's Portage system for catching
the trojaned files via checksums.
(http://www.hlug.org/trojan/)
 

Otto
Gast





BeitragVerfasst am: 14. März 2003 12:39   Titel: Re: Sichere SW-Pakete bei Debian und Gentoo?

Slackware bietet für seine Pakete eine GPG-Signatur.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy