[gnucash-de] Unsignierte Pakete von alioth

Micha Lenk micha at lenk.info
Di Mär 11 08:30:49 EDT 2008


Hallo Stephan,

Jörg schrieb:
> > Hol Dir die Datei *.changes und ruf gpg --verify damit auf. Wenn das
> > passt, kannst Du die MD5‐Summe darin mit der der Datei vergleichen.

Das funktioniert leider nicht: Die *.changes-Dateien sind standardmäßig
nicht herunterladbar.

On Tue, Mar 11, 2008 at 12:13:16PM +0100, Stephan Windmüller wrote:
> > Wir können das Archiv nicht signieren, weil die Signierung
> > automatisch geschieht.
> 
> Was spräche dagegen, einen eigenen Schlüssel dafür auf den Server zu
> legen?

Du meinst, damit jemand der den Server hackt, gleich noch verschleiern
kann, dass er die Pakete ausgetauscht hat? ;-)

Der Sinn der signierten Paketlisten ist eigentlich gerade, beweisbar
sicherstellen zu können, dass die angebotenen Pakete genau dem
entsprechen, was durch mich autorisiert hochgeladen wurde. Damit also
der ganze Aufwand mit den Signaturen überhaupt gerechtfertigt ist, darf
der private Schlüssel also keinesfalls auf dem Server liegen.

... ich werde mir mal Gedanken dazu machen; eine baldige Lösung kann ich
allerdings nicht versprechen.

Schöne Grüße
  Micha