Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 11. Dez 2018 5:13

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 10 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 15. Feb 2003 18:21 
SuSE-RPMs sind mit einer GPG-Signatur versehen. Wie sieht es aber bei Debian und Gentoo aus?

Mein letzter Stand ist, das bei Debian in einem späteren Release die Paketliste, die Checksummen aller Pakete enthält, signiert wird. Debian 3.0 hat dies aber nicht, oder irre ich mich?

Bei Gentoo scheint gar nichts signiert zu sein.

D.h. ein apt-get bzw. ein emerge holt unsignierte Pakete bzw. es gibt keine Liste mit signierten Checksummen. Man kann deshalb nicht sicher sein, das die Pakete wirklich von Debian oder Gentoo sind. Ein Cracker könnte einem also gefälschte Pakete unterschieben, oder?

Besteht bei Debian bzw. Gentoo irgendeine Möglichkeit vor der Installation von Paketen zu überprüfen, ob es die Orginalpakte von Debian oder Gentoo sind?


Nach oben
   
BeitragVerfasst: 15. Feb 2003 19:12 
Offline
Pro-Linux
Benutzeravatar

Registriert: 15. Aug 1999 16:59
Beiträge: 3237
Wohnort: Bruchsal
Hi!

Debian bietet nur eine Prüfsumme, und auch nur bei den Source-Paketen. Das ist ziemlich lächerlich, da die Prüfsummen auch noch zusammen mit den Paketen gespeichert werden. Sie dürften problemlos zu manipulieren sein.

Gruß,
hjb

_________________
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?


Nach oben
   
BeitragVerfasst: 17. Feb 2003 19:22 
Moin,
Bei gentoo liegen die Prüfsummen im Portagetree, praktisch eine Liste der zu Verfügung stehenden Pakete. Den saugt man sich von verschiedenen Servern.
Vor der Installation aller Programme werden die Werte verglichen.

mfg
evi


Nach oben
   
BeitragVerfasst: 21. Feb 2003 13:06 
Das ist ja alles nicht wirklich sicher.

Von der Release-Version von Debian (Gentoo leider nicht) kann man sich die Checksummen über http://www.knowngoods.org/ besorgen. Das ist aber mühsam, die Paktete zu überprüfen. Mit dem 1. apt-get holt man sich dann auch wieder unsignierte Pakete. Schlimmer noch, wer sich Pakete aus Nicht-debian-Quellen holt (neuester KDE etc.) muss dem Autor vertrauen und dass der Server nicht gehackt wurde, von dem man diese Pakete holt.

Da scheint von der Sicherheit her ein signiertes RPM-Paket wesentlich besser.

Bei Gentoo kann man zwar den Source untersuchen, das ist jedoch zu aufwändig.

PS: Warum werden die Debian/Gentoo-Pakte oder eine Checksummen-Liste der Pakete eigentlich nicht signiert. Das scheint doch nicht schwierig zu sein. Ist das so unwichtig, dass Debian es schon wieder verschoben hat? Das sollte doch ursprünglich in R3.0.

PS2: Sind jetzt alle RPM-Distris sichere als Deb- und Source-Pakete? <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">


Nach oben
   
BeitragVerfasst: 22. Feb 2003 16:57 
sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.

siehe ksirc wo der server gehackt wurde und ein trojaner impliziert wurde.

PS: gibt es vertrauenswürdige downloadquellen??? NEIN... den betreibern/entwicklern kann man "vielleicht" trauen, doch wenn das server gecrackt wird ist es rum, selbst mit der gpg-signatur.


Nach oben
   
BeitragVerfasst: 25. Feb 2003 14:32 
Wenn der Server gecrackt wird, können zwar die Pakete auf dem Rechner ausgetauscht werden, aber die Signatur stimmt dann nicht oder fehlt. Der private Schlüssel muss auf einem anderen Rechner sein, sonst wäre das fahrlässig.

Somit hat man da schon eine gewisse Sicherheit. (Der private Schlüssel könnte natürlich auch in fremde Hände fallen).

KDE3-Pakete für SuSE von kde.org sind mit dem Schlüssel von SuSE signiert. Egal auf welchen Server, an der Signatur sind sie zu erkennen.

>>sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.<<

Wieso sollte es sicherer sein, eine Distri incl. Pakete zu holen. Besteht die Distri aus ISO-Files, können diese auch verändert worden sein.


Nach oben
   
BeitragVerfasst: 25. Feb 2003 15:54 
<Wenn der Server gecrackt wird, können zwar die Pakete auf dem Rechner ausgetauscht werden, aber die Signatur stimmt dann nicht oder fehlt. Der private Schlüssel muss auf einem anderen Rechner sein, sonst wäre das fahrlässig.>

gentoo wird komplett aus dem netz installiert, meistens. das heisst, der portage-tree mit den signierungen wird über das netz übertragen. habe ich gefälschte signierungen geladen so hilft mir das auch nicht.

<Wieso sollte es sicherer sein, eine Distri incl. Pakete zu holen. Besteht die Distri aus ISO-Files, können diese auch verändert worden sein.>

eine cd zu kaufen ist was anderes als eine installation über inet. man darf davon ausgehen dass z.b. suse pakete ausliefert die OK sind. das heisst dass die iso-files auch OK sind... das ist ein kleiner unterschied gegenüber einer netzinstallation.

< >>sobald du aus dem netz deine pakete holst gibt es nichts sicheres, wenn du eine distri holst wo die pakete dabei sind dann tritt spätestens beim onlineupdate ein sicherheitsrisiko ein.<< >


grundsätzlich kann man es als unsicher bezeichnen eine installation über inet durchzuführen, allerdings kann man wohl drauf vertrauen dass eventuelle fehler (gecrackter server z.b.) gemeldet werden und man die wahl hat neu zu installieren oder nicht.
da es aber noch andere möglichkeiten gibt manipulationen durchzuführen ist es allgemein als unsicher zu kennzeichnen.
aber da man ja die wahl hat.......ich persönlich nutze auch gentoo über netz installation.


Nach oben
   
BeitragVerfasst: 25. Feb 2003 18:33 
>>habe ich gefälschte signierungen geladen so hilft mir das auch nicht.<<
Sind die Pakete mit einem geheimen Schlüssel signiert, so kann man die Echtheit mit einem öffentlichen Schlüssel überprüfen.( http://www.gnupg.org/) Installiert man SuSE von gekaufter CD ist der öffentliche Schlüssel mit installiert. Damit kann man alle Pakete - auch die aus dem Internet - überprüfen. SuSE hat diese mit einem privaten Schlüssel signiert. D.h. nur wer diesen Schlüssel besitzt kann signieren. Gentoo scheint also nur Checksummen zu benutzten, oder? Diese könnte man zusammen mit einem gefälschten Paket austauschen. Das ist nicht so sicher.

>>eine cd zu kaufen<<
Auch so war das gemeint. Also nicht ISOs aus dem Netz ziehen. Dann natürlich: ACK.


Nach oben
   
BeitragVerfasst: 26. Feb 2003 4:28 
>Gentoo scheint also nur Checksummen zu benutzten, oder?

Zur Zeit ja. Wobei anzumerken wäre, daß die Prüfsummen auch automatisch(!)
benutzt werden, also nicht ungenutzt auf dem System herumliegen.

>Diese könnte man zusammen mit einem gefälschten Paket austauschen.

Nein, die Prüfsummen werden vom "RSYNC Server" geladen, der Sourcecode
von einem anderen, aber daß hat ja schon evi geschrieben. Der Angreifer muß also in zwei Systeme rein.

>Das ist nicht so sicher.

Naja, immerhin...

Thanks ..., and Gentoo's Portage system for catching
the trojaned files via checksums.
(http://www.hlug.org/trojan/)


Nach oben
   
BeitragVerfasst: 14. Mär 2003 12:39 
Slackware bietet für seine Pakete eine GPG-Signatur.


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 10 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de