Also nie! Na, toll.Belbro schriebIch spende erst wieder für Archlinux, wenn signierte Pakete unterstützt werden.
Signierte Pakete
Na komm, nicht so negativ, in zwei bis drei Jahren wird er doch was spenden 🙂Stefan Husmann schriebAlso nie! Na, toll.Belbro schriebIch spende erst wieder für Archlinux, wenn signierte Pakete unterstützt werden.
[gelöscht]
Vielleicht könnte man für dieses Thema sammeln um einen finanziellen Anreiz zu bieten. Anders kann ich zumindest nicht weiterhelfen
Ich glaube, an diesem Thema trennt sich die Spreu vom Weizen. Hier zeigt sich, wo die wahren Linux-Hacker sitzen (z.B. bei Debian oder Fedora)
Ich glaube, an diesem Thema trennt sich die Spreu vom Weizen. Hier zeigt sich, wo die wahren Linux-Hacker sitzen (z.B. bei Debian oder Fedora)
Das Validieren von Paketen ist so ziemlich das Trivialste, was es gibt. Die Tatsache, warum es Pacman nicht hat, ist wohl schlicht Faulheit.Belbro schriebIch glaube, an diesem Thema trennt sich die Spreu vom Weizen.
Wenn es so einfach ist, leg los Baby... 😉Dirk Sohler schriebDas Validieren von Paketen ist so ziemlich das Trivialste, was es gibt. Die Tatsache, warum es Pacman nicht hat, ist wohl schlicht Faulheit.Belbro schriebIch glaube, an diesem Thema trennt sich die Spreu vom Weizen.
cu
Wenn pacman in Python ist, bin ich dabei 🙂piet schriebWenn es so einfach ist, leg los Baby... 😉
Ich habe die Trollerei mal verschoben. Das hat mit Spenden für archlinux.de gar nichts zu tun. Den Rest kommentiere ich lieber nicht.
Weils stimmt, oder weil du die große Überraschung 2010 nicht versauen willst und signierte Pakete noch für dieses Jahr geplant sind? 😉Pierre schriebDen Rest kommentiere ich lieber nicht.
- Bearbeitet
Auf der Pacman-Mailingliste. Aber der Quellcode von pacman ist öffentlich einsehbar. Du kannst auch direkt einen Patch schreiben.Kiste1985 schriebDa dieses Feature wirklich sinnvoll wäre, wo müsste man sich denn melden, wenn man mithelfen möchte? Oder dürfen das nur diejenigen im Arch-Team? :>
Die Signierung von Paketen wäre schon nett. Allerdings halte ich es zur Zeit für wahrscheinlicher beim Abholen meines Lotto-Gewinns vom Blitz getroffen zu werden, als einem Man-in-the-Middle-Angriff über Pacman ausgesetzt zu sein.
Ich auch, allerdings gehört es heute zum guten Ton, Kommunikation egal welcher Art, die über öffentliche Datennetze läuft, zu verschlüsseln, oder mindestens aber zu signieren!Kinch schriebAllerdings halte ich es zur Zeit für wahrscheinlicher beim Abholen meines Lotto-Gewinns vom Blitz getroffen zu werden, als einem Man-in-the-Middle-Angriff über Pacman ausgesetzt zu sein.
Trotz alledem klingt das so wie
"Mimimi, ich kauf erst wieder einen VW wenn ich rosa Sitze krieg :'-("
und währenddessen fährt man mit seinem Passat weiter 😉
Spenden an Bedingungen zu knüpfen ist ziemlich schwach, aber das muss jeder selber wissen.
Signierte Pakete sind zwar "nett" aber nicht notwendig und mich persönlich stört es wenig, dass es keine gibt. Mir ist ein stabiles, lauffähiges, relativ bugfreies System wichtiger als irgendwelche signierten Pakete.
"Mimimi, ich kauf erst wieder einen VW wenn ich rosa Sitze krieg :'-("
und währenddessen fährt man mit seinem Passat weiter 😉
Spenden an Bedingungen zu knüpfen ist ziemlich schwach, aber das muss jeder selber wissen.
Signierte Pakete sind zwar "nett" aber nicht notwendig und mich persönlich stört es wenig, dass es keine gibt. Mir ist ein stabiles, lauffähiges, relativ bugfreies System wichtiger als irgendwelche signierten Pakete.
wie ist das eigentlich gedacht mit dem signieren/verschlüsseln.
Sollte jeder der ein Paket baut seinen eigenen Key haben oder gibt es nur einen von ArchLinux und den kennen dann alle die Pakete veröffentlichen?
Soll nur signiert werden oder wirklich richtig verschlüsselt.
Und würde es nicht für das erste schon reichen das man sich ein Paket mit Checksumme herunterlädt und dann von verschiedenen Servern (z.B 3 aus verschiedenen Ländern) nur die Checksumme und diese dann vergleicht. So wäre sicher gestellt das wenn alle Checksummen gleich sind, das Paket vermutlich ok ist, oder das alle Server gehackt wurden.
Sollte jeder der ein Paket baut seinen eigenen Key haben oder gibt es nur einen von ArchLinux und den kennen dann alle die Pakete veröffentlichen?
Soll nur signiert werden oder wirklich richtig verschlüsselt.
Und würde es nicht für das erste schon reichen das man sich ein Paket mit Checksumme herunterlädt und dann von verschiedenen Servern (z.B 3 aus verschiedenen Ländern) nur die Checksumme und diese dann vergleicht. So wäre sicher gestellt das wenn alle Checksummen gleich sind, das Paket vermutlich ok ist, oder das alle Server gehackt wurden.
- Bearbeitet
Es wird wohl vermutlich einen Key für alle offeziellen Repos geben, den alle Paketbauer benutzen.BurnOver schrieb Sollte jeder der ein Paket baut seinen eigenen Key haben oder gibt es nur einen von ArchLinux und den kennen dann alle die Pakete veröffentlichen?
Eine Verschlüsselung von Paketen macht meiner Meinung nach keinen Sinn.BurnOver schrieb Soll nur signiert werden oder wirklich richtig verschlüsselt.
Ähm, das ist deutlich aufwändiger und nur bedingt sicherer. Das grundsätzliche Risiko, das jemand die Pakete manipulieren könnte besteht ja weiterhin; nur ist der Aufwand insofern gestiegen, dass er seine Manipulationen eben auf mehreren Servern durchführen muss.BurnOver schrieb Und würde es nicht für das erste schon reichen das man sich ein Paket mit Checksumme herunterlädt und dann von verschiedenen Servern (z.B 3 aus verschiedenen Ländern) nur die Checksumme und diese dann vergleicht. So wäre sicher gestellt das wenn alle Checksummen gleich sind, das Paket vermutlich ok ist, oder das alle Server gehackt wurden.
Gegen einen Man-in-the-Middle-Angriff schützt das gar nicht. Wenn jemand den Request eines Packets abfangen kann und ein infiziertes Packet verschickt, kann er auch die Requests nach den Prüfsummen abfangen.
Zunächs: Spenden für al.de oder .org werden ausschließlich zur Kompensierung unserer Infrastrukturkosten genutzt. Allen Arch-Entwickler investieren einen großen Teil ihrer Freizeit unentgeltlich für dieses Projekt.Uns hier Faulheit vorwerfen zu lassen oder uns zu drohen ist nicht nur unangemessen, sondern mehr als unverschähmt.
Signierte Pakete wären eine tolle Sache. Darin sind sich sicher alle einig. Interessanterweise scheint es aber niemandem wichtig genug zu sein, um das Ganze wirklich einmal umzusetzen.
Code, Ideen etc. existieren schon länger; was wirklich fehlt ist eine organisatorische Planung und Umsetzung.
Die Entwickler haben entweder anderes zu tun oder auch kein besonders großes persönliches Interesse daran. (z.B. nutze ich keinen Mirror, sondern lade die Pakete über eine SSH-Verbindung vom Master-Server, was mir vorerst sicher genug erscheint)
Mehr Informationen findet man übrigens unter http://wiki.archlinux.org/index.php/Pacman_package_signing und den nötigen pacman-Code unter http://code.toofishes.net/cgit/dan/pacman.git/
Signierte Pakete wären eine tolle Sache. Darin sind sich sicher alle einig. Interessanterweise scheint es aber niemandem wichtig genug zu sein, um das Ganze wirklich einmal umzusetzen.
Code, Ideen etc. existieren schon länger; was wirklich fehlt ist eine organisatorische Planung und Umsetzung.
Die Entwickler haben entweder anderes zu tun oder auch kein besonders großes persönliches Interesse daran. (z.B. nutze ich keinen Mirror, sondern lade die Pakete über eine SSH-Verbindung vom Master-Server, was mir vorerst sicher genug erscheint)
Mehr Informationen findet man übrigens unter http://wiki.archlinux.org/index.php/Pacman_package_signing und den nötigen pacman-Code unter http://code.toofishes.net/cgit/dan/pacman.git/
Ob dus mir glaubst oder nicht, durch dioe Aussage hab ich das Prinzip der signierten Pakete erst jetzt richtig verstanden bzw. hat's mir eine offene Frage beantwortet, nach deren Antwort ich immer bei dem Thema gesucht hab.Kinch schriebÄhm, das ist deutlich aufwändiger und nur bedingt sicherer. Das grundsätzliche Risiko, das jemand die Pakete manipulieren könnte besteht ja weiterhin; nur ist der Aufwand insofern gestiegen, dass er seine Manipulationen eben auf mehreren Servern durchführen muss.
Gegen einen Man-in-the-Middle-Angriff schützt das gar nicht. Wenn jemand den Request eines Packets abfangen kann und ein infiziertes Packet verschickt, kann er auch die Requests nach den Prüfsummen abfangen.
@Topic:
Ich finds irgendwie behämmert sagen zu müssen, dass Spenden nur dann drin sind, wenn XYZ realisiert, geändert oder was-weiss-ich wird. Ich hab selbst ein kleiens Projekt, ich akzeptiere Spenden und - nein - es ist natürlich nicht so groß wie Arch Linux.
Das Ding ist:
Ob man spenden will oder nicht, das muss jeder für sich selbst ausmachen. Wenn man eben nicht wegen dem Fehlen von signierten Paketen spenden will, okay, dann is das halt Pech bzw. des Nicht-Spenders eigene Meinung. Aber Spenden mit einer Bedingung zu knüpfen ist einfach nicht fair, meiner Meinung nach. Auch wenn es vielleicht nicht wirklich so gemeint war. Aber versetzt euch mal in die Situation derer, die euch Arch zur Verfügung stellen. Ich will nun nicht mit solchen Dingen kommen wie "die müssen es am besten wissen" oder "die haben genug um die Ohren", aber im Endeffekt:
Das Projekt muss laufen. Und das tut es seit Jahren. Wie zum Beispiel dieser Server. Wenn man diesen natürlich mit Kritik betreiben könnte, dann bräuchte man hier wohl keine Spenden, aber das ist leider nicht der Fall.
Ich will nicht sagen, dass man keine Kritik üben sollte, oder konstruktives Feedback (was leider nicht immer das selbe ist) und ich will nicht sagen, dass man einfach ruhig sein sollte und Dankbarkeit zeigen sollte. Aber Spenden als Argumentationsmittel zu nutzen is einfach nicht wirklich angebracht... Keiner zwingt irgendjemanden hier zum spenden, also tut es oder lasst es einfach.
Is alles nur meine Meinung, steht unterm Copyleft. Wem sie also nicht gefällt, dem sei frei 'ne eigene zu haben, die nicht wirklich kompatibel sein muss. In diesem Universum ist das möglich.
DAs liegt daran, dass dieses Topic hier kommentarlos von dem „Helft-Arch-Linux“-Thread abgetrennt war, und das Eingangsposting eine wohl eher flapsig-ironisch dahergesagte Aussage war, als eine tatsächliche Forderung 🙂zico schriebIch finds irgendwie behämmert sagen zu müssen, dass Spenden nur dann drin sind, wenn XYZ realisiert, geändert oder was-weiss-ich wird. Ich hab selbst ein kleiens Projekt, ich akzeptiere Spenden und - nein - es ist natürlich nicht so groß wie Arch Linux.
Und da tut er im Grunde genommen recht gut (nur das Forensystem ist etwas gewöhnungsbedürftig *g*) – Genau wie die hunderten von Mirrors, nicht zuletzt aufgrund vieler Zeit-, Traffic-, Arbeits- und natürlich auch Geld-Spender!zico schriebDas Projekt muss laufen. Und das tut es seit Jahren. Wie zum Beispiel dieser Server.
Jo, wie gesagt, das glaub ich sogar. Wollte da auch keine Ernsthaftigkeit implizieren. Das Ding ist nur, dass es solche Leute GIBT, die sowas in solche Form total ernst meinen ode rgar XXXEUR spenden und dir dann richtig blöde kommen wie: "Da haste dein Geld, jetzt hab ich dich bei den Eiern. Also schreib jetzt mal mit..."Dirk Sohler schriebDAs liegt daran, dass dieses Topic hier kommentarlos von dem „Helft-Arch-Linux“-Thread abgetrennt war, und das Eingangsposting eine wohl eher flapsig-ironisch dahergesagte Aussage war, als eine tatsächliche Forderung 🙂zico schriebIch finds irgendwie behämmert sagen zu müssen, dass Spenden nur dann drin sind, wenn XYZ realisiert, geändert oder was-weiss-ich wird. Ich hab selbst ein kleiens Projekt, ich akzeptiere Spenden und - nein - es ist natürlich nicht so groß wie Arch Linux.
Weiss nicht wie die Arch Jungs das so sehen, aer mich versetzt sowas immer in eine sehr unangenehme Position. Vor allem, wenn sowas öffentlich passiert.
Daher rührte mein Post und ich wollte im Grunde damit nur sagen, dass ich es sehr unglücklich ausgrückt fand - ob ernst gemeint oder nur aus Spaß. Mag sein, dass ich damit wieder übers Ziel hinausgeschossen bin - ist leider eine Schwäche von mir.
Wie oben schon berichtet - jeder will signierte Pakete, keiner macht es.
Gegen projektbezogene Spenden wäre übrigens (ZUSÄTZLICH zu den regulären Spenden!) gar nichts einzuwenden. Der einzige Versuch in dieser Richtung ist jedoch leider bereits im Brutkasten verstorben:
http://archlinux.me/dusty/2010/01/22/death-of-arch-bounty/
Gegen projektbezogene Spenden wäre übrigens (ZUSÄTZLICH zu den regulären Spenden!) gar nichts einzuwenden. Der einzige Versuch in dieser Richtung ist jedoch leider bereits im Brutkasten verstorben:
http://archlinux.me/dusty/2010/01/22/death-of-arch-bounty/
Versuchen wir doch mal das wir damit anfangen.
Ich könnte mich Anfang März damit mal intensiver beschäftigen. Habe Semesterferien und muss nur eine Ausarbeitung nebenbei schreiben.
Bisherige Idee wäre auf gpg2 aufzubauen. Und das alle Pakete nach und nach eine Signatur bekommen. (detach-sig)
Damit gebe es immer noch eine Abwärtskompatibliltät mit älteren pacman versionen die mit der Signatur noch nichts anfangen können.
Das ganze könnte dann so ablaufen das wie sonst auch die Pakete runtergeladen werden und anschließend die Signatur zu dem Paket.
Anschließend wird die Signatur geprüft. Sollte man dem Paketbauer vertrauen wird das Paket installiert, falls nicht gelöscht oder ignoriert.
Das ganze hat den Nachteil das der Benutzer jedes Paket einzeln bestätigen muss. Bei mir ist es so (es kann auch an der Einstellung liegen), dass wenn ich Pakete prüfe ein Text auf die Konsole geschrieben wird ob ich vertraue oder nicht. Diesen Text kann man leider nicht umleiten
Bsp unbekanntes vertrauen:
Das wäre jetzt erstmal meine Idee.
Ich könnte mich Anfang März damit mal intensiver beschäftigen. Habe Semesterferien und muss nur eine Ausarbeitung nebenbei schreiben.
Bisherige Idee wäre auf gpg2 aufzubauen. Und das alle Pakete nach und nach eine Signatur bekommen. (detach-sig)
Damit gebe es immer noch eine Abwärtskompatibliltät mit älteren pacman versionen die mit der Signatur noch nichts anfangen können.
Das ganze könnte dann so ablaufen das wie sonst auch die Pakete runtergeladen werden und anschließend die Signatur zu dem Paket.
Anschließend wird die Signatur geprüft. Sollte man dem Paketbauer vertrauen wird das Paket installiert, falls nicht gelöscht oder ignoriert.
Das ganze hat den Nachteil das der Benutzer jedes Paket einzeln bestätigen muss. Bei mir ist es so (es kann auch an der Einstellung liegen), dass wenn ich Pakete prüfe ein Text auf die Konsole geschrieben wird ob ich vertraue oder nicht. Diesen Text kann man leider nicht umleiten
Bsp unbekanntes vertrauen:
$ gpg2 --verify README.sig README
gpg: Unterschrift vom Do 18 Feb 2010 15:33:05 CET mittels DSA-Schlüssel ID 7B06D59F
gpg: Korrekte Unterschrift von "Signman (Signman)"
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 28B8 DF4B CB7A B727 E8D3 5076 6573 F27F 7B06 D59F
$ gpg2 --verify README.sig README
gpg: Unterschrift vom Do 18 Feb 2010 15:33:05 CET mittels DSA-Schlüssel ID 7B06D59F
gpg: Korrekte Unterschrift von "Signman (Signman)"
Das wäre jetzt erstmal meine Idee.
Wozu soll eine Signatur gut sein? Der vermeintliche Viren Schreiber muss sich doch zunächst erstmal Zugang zu den Servern verschaffen wo die Pakete verteilt werden. Wenn er das wirklich schaffen sollte, wird er auch noch eine Signatur falschen können. Ich finde der Aufwand steht in keinem Verhältnis zum Nutzen.