Hallo,

gibt es eine Möglichkeit, signierte, vertrauenswürdige *.db.gz-Files von den core-, extra- und community-Repos zu bekommen? Bzw: Wie lange dauert es noch, bis irgendwelche Mechanismen eingeführt werden, die man in the middle attacks verhindern? Ich benutze Arch jetzt schon seit Wombat-Zeiten und liebe es, aber meine Paranoia macht mir da schon sehr zu schaffen. Ich möchte mich nicht in den Schlaf weinen müssen, nur weil ich auf meine Lieblings-Distri verzichten muss, weil mir böse Menschen manipulierte Package-Files unterjubeln können.

mfg,
Flummi.

gibt es eine Möglichkeit, signierte, vertrauenswürdige *.db.gz-Files von den core-, extra- und community-Repos zu bekommen?

Was meinst du damit? Ob man die auf die platte laden kann und nutzen? Ja, kann man.

Aber das wort "signierte" sagt mir das es doch voher kontrolliert wurde und dementsprechend signiert. Oder versteh ich da was falsch?

Das Problem ist folgendes:

Wenn man ein Paket mittels Pacman von einem Archlinux-Mirror herunterlädt, wird die Prüfsumme dieses Pakets mit der in einer Datenbank-Datei am Mirror-Server verglichen. Stimmen sie nicht überein, wird die Installation abgebrochen.

Wenn ein Angreifer meine Anfrage abfängt und mir stattdessen ein manipuliertes Paket unterschiebt, unterscheiden sich die Prüfsumme und ich werde gewarnt.

Was aber leider möglich ist, ist dass auch die Anfrage für die Prüfsumme abgefangen wird und man eine ebenfalls manipulierte Prüfsumme erhält. Dann fällt nicht mehr auf, dass das erhaltene Paket nicht von Archlinux-Entwicklern/innen stammt.

Dieser Problematik kann man insoweit entgegentreten, indem man diese Datenbank-Dateien asynchron signiert. Der Public-Key, mit dessen zugehörigen Private-Key die Datenbank-Datei signiert wurde, könnte von der Archlinux-Seite über eine SSL/TLS-verschlüsselte Verbindung heruntergeladen werden.

Um dies zu integrieren müsste man nur eine weitere Funktion in Pacman einfügen, nämlich die Kontrolle der Signatur.

Es gibt natürlich auch noch alternative Möglichkeiten, gesichert Pakete zu versenden.

Soweit ich weiß wurde das Problem schon mehrfach angesprochen und auch als 'Feature Request' auf dem Bugtrackingsystem gepostet [1].

Leider hat sich seitdem nichts getan...

Du bist aber nicht alleine - mich stört das ebenfalls massiv und gerade wenn mal wieder die Diskussionen um den Bundestrojaner & Co. aufkommen erinnere ich mich daran.

-hanky-

[1] http://bugs.archlinux.org/task/5331

Zumindest die Paket-DB zu signieren wäre sicherlich sinnvoll. Ich gehe davon aus, daß man das Problem nur dann schnell lösen kann, wenn man selbst konkrete Ideen oder gar Patches zu Pacman beisteuert.

Zumindest die Paket-DB zu signieren wäre sicherlich sinnvoll. Ich gehe davon aus, daß man das Problem nur dann schnell lösen kann, wenn man selbst konkrete Ideen oder gar Patches zu Pacman beisteuert.

Also zumindest konkrete Ideen wurden ja im Forum gepostet.

Leider ist dieses Feature iirc auf der Prioritätenliste der Entwickler eher weiter unten angesiedelt.

Um mal etwas zu spekulieren: Es dürfte wohl nicht so einfach sein von heute auf morgen das Paketsystem um diese Funktion zu erweitern, weshalb man dieses Problem vor sich her schiebt. Aber das kann ja keine Lösung sein, denn ich halte das für eine gravierende Sicherheitslücke nicht nur theoretischer Natur. Da reicht ein kompromittierter Spiegelserver aus und etliche Installationen sind verseucht.

Mein Vorschlag wäre deshalb: Man erweitert Pacman um die Möglichkeit signierte Pakete zu überprüfen und legt eine Übergangszeit fest innerhalb derer man noch unsignierte Pakete installieren kann. Nach Ablauf der Übergangsfrist, die man ja durchaus großzügig bemessen kann, werden dann nur noch signierte Pakete akzeptiert.

Mal schauen, vielleicht schreibe ich das mal in dem Foren-Thread um die Diskussion wieder zu reanimieren.

Ich bin mit Arch Linux absolut zufrieden und fände es schade wegen so etwas die Distribution wechseln zu müssen.
Aber ich sehe leider auch dass sich bereits seit fast einem Jahr rein gar nichts tut um ein solches Angriffsszenario zu verhindern. Und da mache ich mir -wie Flummi auch - schon so meine Gedanken. Was nützt es mir meine Daten zu verschlüsseln wenn mir ein Paketserver einen Keylogger unterjubeln kann?

-hanky-

Am besten ist es, wenn man dies auf der pacman-dev Mailingliste diskutiert. Für den Anfang würde es sicherlich ausreichen die Möglichkeit zu geben die Repository-DB auf Authentizität zu prüfen. Das schützt dann zumindest vor kompromitierten Spiegelservern.

Den Aufwand kann ich aber auch nicht abschätzen; mit der Pacman-Entwicklung habe ich eigentlich nichts zu tun.

Es würde ja schon reichen die MD5-Summen der Pakete über eine sichere Verbindung zu übermitteln. Also MD5-Summen über https von archlinux.org aus verbreiten und das war's. Pacman schaut dann halt nicht mehr im im Repo nach den Summen, sondern in der lokalen Kopie. Aber so lang das nicht verwirklicht wird, werde ich wohl auf Kubuntu umsteigen müssen, so traurig dies sein mag. Leider ist aber ein österreichischer Bundestrojaner bereits beschlossene Sache und kommt 2008.