Date: prev next · Thread: first prev next last
2017 Archives by date, by thread · List index


Hi *,

On Do., 24. Aug. 2017, 16:54 Thorsten Behrens <thb@documentfoundation.org>
wrote:

Verstehe ich das richtig, dass die Pakete von LibreOffice vorher nicht
signiert wurden, jetzt aber signiert sind?



Nein, die rpm/deb Pakete sind auch aktuell nicht signiert.
Die tarballs haben eine gpg Signatur, aber das ist auch schon alles.

Dann überprüft die
Softwareinstallation nämlich automatisch die Signatur - sonst wäre das
gar nicht passiert.



Das wäre eine ziemlich sinnlose Einstellung.
Signatur nur prüfen, wenn eine vorhanden ist? Dann kann man auch komplett
darauf verzichten.

Rpms haben für die enthaltenen Dateien md5 Prüfsummen für die
Integritätsprüfung, dafür braucht es keine crypto-sig.

Meist haben die distro-frontends zu rpm die Signaturprüfung aktiviert, um
so vor dns-Spoofing / mitm Attacken geschützt zu sein (Angreifer kann sich
nicht einfach als Updateserver ausgeben und falsche Update pakete
ausliefern).

Kenne allerdings noch keine Distro, bei der die Signatur auch beim
Verwenden von rpm direkt eingefordert wird.

Und dann sollte auch ein Schlüssel dazu importiert
werden können, ansonsten sorgt die Signatur nur für Probleme und bringt
überhaupt keinen Vorteil.

Ah gute Frage - Cc Cloph - der Key ist auf den üblichen Keyservern,
KeyID ist 0xF434A1EFAFEEAEA3. Falls das so ist, müßte dann ja
eigentlich nur das HowTo angepasst werden?


Kommt darauf an, was das howto denn so vorschlägt. Sollte vorschlagen die
tarball sig zu checken und dann rpm direkt auszuführen.

Ciao
Christian



-- 
Liste abmelden mit E-Mail an: discuss+unsubscribe@de.libreoffice.org
Probleme? http://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: http://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: http://listarchives.libreoffice.org/de/discuss/
Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert

Context


Privacy Policy | Impressum (Legal Info) | Copyright information: Unless otherwise specified, all text and images on this website are licensed under the Creative Commons Attribution-Share Alike 3.0 License. This does not include the source code of LibreOffice, which is licensed under the Mozilla Public License (MPLv2). "LibreOffice" and "The Document Foundation" are registered trademarks of their corresponding registered owners or are in actual use as trademarks in one or more countries. Their respective logos and icons are also subject to international copyright laws. Use thereof is explained in our trademark policy.