Tag,

wie kann man die Sicherheitsupdates die man sich per apt-get runterzieht eigentlich hinsichtlich ihrer Integrität überprüfen? Sind die kryptographisch signiert, und wenn ja, wie findet da eine Überprüfung statt? Automatisch im Rahmen des apt-get? Oder muss man das manuell checken?

Puh-Bert

naja eine md5-checksumme wird überprüft aber meines wissens ist das alles. so etwas wie kryptographierung findet meines wissen nicht statt

Ein MD-5 Checksummencheck ist nicht gerade sinnvoll, denn wenn das Paket modifiziert wurde, wurde höchstwahrscheinlhc auch die Summe verändert - denke ich.

joey

Hi,

Ja hier geht doch nur um Daten-Integrität oder? Und dafür reicht MD5.

Ciao, Bernie

Ja, du weißt dann das das Paket integer ist, aber nicht ob es auch tatsächlich ist, was es sein soll..

joey

ich habe ja nicht behauptet, dass das eine großartige sicherheit darstellt, aber tatsache ist halt das als sicherhitsmechanismus nur eine md5-checksumme existiert und das wars. ob das jetzt gut ist oder nicht bleibt jedem selbts überlassen.

huhu,

also wenn du Sie von -Y nimmst sollte es eigentlich vertrauenswürdig sein :rolleyes:

deb http://security.debian.org/ stable/updates main contrib non-free

es sei denn du gehts davon aus, das der server gehackt ist und alle pakete durch unsichere ersetzt wurden

mfg.
thom

ich denke mal das die MD5 Summen und die Pakete auf unterschiedlichen Servern liegen, sonst würde dieser Inegritycheck keinen Sinn machen. Ich weiss es aber nicht!

greetz
adme

Warum wuerde es keinen Sinn machen? Mit dem md5 will man doch lediglich Fehler in der Datenuebertragung ausschliessen koenne - zumindest ist das bei uns so. In der Hinsicht ist es egal ob die md5 Checksummen auf dem gleichen oder einem anderen Server liegen, nein?

-phoen][x-

Ganz so richtig ist das nicht. Also die Checksum ist für die Integrität des Pakets zuständig, das heißt a - wie du schon gesagt hast - dass der Download gut ging. Das ist aber eher zweitrangig, da du für die Übertragung zumeinst ein Verbindungsorientiertes Protokoll nimmst, da sind Fehler von haus aus nicht so oft vorhanden. aber zum zweiten sagt dir die checksum, dass keine einzige zeile code im programm verändert wurde und dass es sich genau um das programm handelt, das du willst.

Joey

Hi,

Nur zur Info, die Prüfsumme ist im Paket drin:

Package: apache
Priority: optional
Section: web
Installed-Size: 763
Maintainer: Johnie Ingram <johnie@debian.org>
Architecture: i386
Version: 1.3.19-1
Replaces: apache-modules
Provides: httpd
Depends: libc6 (>= 2.2.2-2), libdb2, mime-support, apache-common (>= 1.3.19-1), apache-common (<< 1.3.20), perl5 | perl
Suggests: apache-doc
Conflicts: apache-modules, libapache-mod-perl (<= 1.17-1), jserv (<= 1.1-3)
Filename: pool/main/a/apache/apache_1.3.19-1_i386.deb
Size: 399528
MD5sum: aaa9b032cd345a4fae5d24692703d2a1

Ciao, Bernie

naja aber es relativ unwahrscheinlich, dass jemand den updateserver kompromittiert.

von daher passt das schon. weil nörgeln kann man sowieso über. ich zumindest tu mich da sehr leicht ;)

joey

Tag,

man muss ja nicht unbedingt den Server kompromittieren, Spoofing wäre ja noch ne Möglichkeit. Wünschenswert wäre eine kryptographische Signierung der Pakete deshalb ja schon. Was ich allerdings noch entdeckt habe: In den Security-Announcements von Debian stehen die MD5 drin, und die Mails selbst sind signiert. Immerhin ;-)

Puh-Bert

Spoofing ist relativ unwahrscheinlich, da das Internet bei richtigen TCP Verbindungen derzeit einfach zu gut abgesichert ist, als dass es eine große Gefahr darstellt. Klar, es ist definitiv möglich. Aber unwahrscheinlihc. Wahrscheinlicher ist da schon Session Hijacking. Dann hast du allerdings recht, dann bist du am Popo ;). Aber naja so ist das leben ;)

joey