Du bist nicht angemeldet.

#1 04.06.2012 21:25:52

stefanhusmann
Moderator

Pacman: Paketverifikation einfach gemacht

Seit der Einführung signierter Pakete (ist das tatsächlich schon wieder sechs Monate her?) war diese Eigenschaft standardmäßig abgeschaltet, da erst eine passende Infrastruktur aufgebaut werden musste. Jetzt ist sie so gereift, dass die nächste Aktualisierung standardmäßig das Einschalten dieses Features vorsieht.

Sofern man also nicht vorher schon einmal einen Keyring erzeugt hat, wird man nun dazu gezwungen.

pacman-key --init
pacman-key --populate archlinux

Dies baut einen lokalen Schlüsselring auf und reichert ihn mit allen Daten an, die nötig sind, offizielle Pakete als solche zu authentifizieren. Insbesondere werden fünf Hauptschlüssel definiert. Nur diese sollte man verifizieren, indem man die Fingerabdrücke mit denen auf der enttsprechenden Seite vergleicht. Man muss also nicht wissen, ob gerade wieder jemand in eines der Teams (Entwickler, TUs) heraus- oder hineinfluktuiert ist.

Dann sollte man noch die eigene pacman.conf mit der neuen pacman.conf.pacnew zusammenführen, also insbesondere die SigLevel Option anpassen. Dann sollte man auf der "sicheren" Seite sein.

Näheres schreiben Allan und Pierre in ihren Blogs.

Beitrag geändert von matthias (05.06.2012 13:54:33)

Online

#2 04.06.2012 21:37:25

feuri
Mitglied

Re: Pacman: Paketverifikation einfach gemacht

Der Link zu Pierre's Blog funktioniert nicht richtig, das ']Pierre' müsste weg.

Offline

#3 05.06.2012 12:55:29

clocker
Mitglied

Re: Pacman: Paketverifikation einfach gemacht

Seit der Einführung signierter Paket(E) ??

Offline

#4 07.06.2012 06:28:53

Pierre
Entwickler

Re: Pacman: Paketverifikation einfach gemacht

Da doch einige darüber stolpern: Falls "pacman-key --init" "hängt", heißt dies dass noch nicht genug Zufallszahlen für euren GPG-Schlüssel vorhanden sind. Dieser Schlüssel ist äußerst wichtig, da ihr mit diesem die Master-Keys unterschreibt. Er sollte für jede Maschine einzigartig und nicht vorhersehbar, heißt wirklich zufällig sein.

Daher benötigt ihr möglichst gute Zufallszahlen zu Generierung. Die beste Möglichkeit ist die Maus unter X zu bewegen bzw. eine Menge I/O-Last zu erzeugen. Falls dies nicht möglich ist (kein X, VM etc.) könnt ihr alternativ auch haveged installieren und dessen Dämon starten. Dieser erzeugt zusätzlich Zufallszahlen aus CPU-Timings.

Es kursieren noch einige Tipps wie rng-tools zu nutzen um /dev/random mit Daten aus /dev/urandom zu befüllen. Das ist allerdings eine äußerst schlechte Idee, da ihr so die Anzahl der wirklichen Zufallszahlen nicht erhöht und der resultierende Schlüssel eher schwach ist.

Warum der ganze Aufstand: Dies resultiert aus dem Design von GPG. Ihr definiert Vertrauen in bestimmte Keys nicht durch Angabe einer Liste, sondern indem ihr diese mit euren Schlüsseln unterschreibt.

Offline

#5 07.06.2012 09:01:41

Schulteatq
Mitglied

Re: Pacman: Paketverifikation einfach gemacht

Moin,

danke für die Überarbeitung und Vereinfachung des bisherigen Systems und ebenfalls danke für die kurze Erklärung wie einfach und "convenient" das jetzt geworden ist. Damit werde ich dann wohl auch mein SigLevel=Never dahin ändern wie es gedacht ist. smile

mfg, Christian

Offline

#6 07.06.2012 11:21:04

fuwafuwa
Mitglied

Re: Pacman: Paketverifikation einfach gemacht

Daumen hoch smile

Offline

#7 09.08.2012 13:35:28

iconfly
Mitglied

Re: Pacman: Paketverifikation einfach gemacht

Danke für die Info!!!

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums