[gnucash-de] Sicherheit für Nicht-Programmierer

[Andreas Köhler]

Hi Johannes,

On Sun, 2008-09-28 at 19:13 +0200, Johannes Bauer wrote:
> tadomeit schrieb:
> 
> > Ein sehr einfaches Mittel, die Integritaet der Software sicherzustellen,
> > waere die Source- und Installationspakete mit PGP/GPG zu signieren (ggf.
> > auch ein signiertes MD5-Pruefsummen-File). Darum moechte ich die
> > Entwickler auch bitten, da der Aufwand dafuer wirklich sehr gering ist.
> 
> Ist lange her, dass ich mir GnuCash selbst kompiliert habe - aber wird 
> diese simple Maßnahme wirklich nicht gemacht? Kann ich mir fast nicht 
> vorstellen, wenn ich sehe, dass Christian Stimming seine Mails signiert 
> (und das der Länge nach nach SHA-512 aussieht...).

nun, im Laufe des Release-Prozesses hole ich frischen Source-Code aus
dem SVN, baue Tarballs, lade diese auf die Server und packe ihre
MD5-Summen in die Announcement-Mails, welche ich mit meinem eigenen Key
signiere.

Die Tarballs selbst zu signieren halte ich für übertrieben. Es wird m.
E. hinreichend sicher gewährleistet, dass das vom User heruntergeladene
Paket mit dem übereinstimmt, das ich hochgeladen habe, falls die
MD5-Summen übereinstimmen. Ich bin zwar explizit kein Sicherheitsprofi,
aber bevor wieder einmal obiges verlangt wird, sollte man sich
vielleicht lieber vorher darüber klar werden, was man sich überhaupt
davon verhofft, und ob die Maßnahme wirklich dafür geeignet ist.

Ciao,
-- Andreas

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 197 bytes
Beschreibung: This is a digitally signed message part
URL         : http://lists.gnucash.org/pipermail/gnucash-de/attachments/20080928/9dcc2b99/attachment.bin