[gnucash-de] Unsignierte Pakete von alioth

Stephan Windmller stephan.windmueller at cs.uni-dortmund.de
Di Mr 11 07:13:16 EDT 2008


On Tue, 11. Mar 2008, Jörg Sommer wrote:

> Und Du bist Dir sicher, dass das dann nicht nur eine kosmetische
> Veränderung wäre?

Ja, dem Schlüssel müsste ich ja nur einmal vertrauen. Danach bin ich
mindestens gegen DNS-Angriffe geschützt. Sofern man den Betreibern des
Servers traut, auch vor Manipulationen an den Paketen.

> Hol Dir die Datei *.changes und ruf gpg --verify damit
> auf. Wenn das passt, kannst Du die MD5‐Summe darin mit der der Datei
> vergleichen.

Okay, das wäre schonmal ein Anfang.

> Wir können das Archiv nicht signieren, weil die Signierung automatisch
> geschieht. Wir müssten den privaten Schlüssel dann auf den Server legen
> und noch ein paar andere schräge Sachen machen. Wenn Micha nicht noch
> eine Idee hat, ich weiß nicht, wie wir es anders machen sollten.

Was spräche dagegen, einen eigenen Schlüssel dafür auf den Server zu
legen?

Grüße
 Stephan
-------------- nchster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3957 bytes
Beschreibung: nicht verfügbar
URL         : http://lists.gnucash.org/pipermail/gnucash-de/attachments/20080311/e6198bba/attachment.bin