Da ja immer öfter der Wunsch kam Pakete zu signieren, werde ich damit mal anfangen.
Mitmachen kann jeder der sich entweder mit C aus kennt oder in Sachen signieren und verschlüsseln fit ist. Englisch Kenntnisse wären sinnvoll.
Ziel ist eine einfache Möglichkeit Signierte Pakete in pacman/libalpm einzubauen.
Für mich scheint die momentan einfachste Möglichkeit libalpm so anzupassen das bei jedem Paket download auch die entsprechende Signatur mit heruntergeladen wird.
Stimmen Paket und Signatur überein und ist die Unterschrift einer bekannten Person soll das Paket installiert werden.
Bisherige erste Versuche:
Mit GPG einen benutzer zum Signieren angelegt. Dieser Signiert Pakete.
Pakete und Signatur werden verifiziert.
ExitCode: 0 - Signatur passt zum Paket. Keine unterscheidung ob der Person vertraut wird
ExitCode: 1 - Signatur und Paket passen nicht zusammen.
ExitCode: 2 - Schlüssel nicht gefunden.
Man könnte jetzt automatisch wenn der ExitCode 0 ist das Paket direkt installieren. Annahme: Schlüssel die root kennt, sind vertrauenswürdig(auch wenn sie es vlt nicht sind)
Bei Exit Code 1 und 2 Warnung ausgeben. Paket löschen
Beides mal das gleiche Paket und Signatur. Aber root kennt Signman nicht
Mitmachen kann jeder der sich entweder mit C aus kennt oder in Sachen signieren und verschlüsseln fit ist. Englisch Kenntnisse wären sinnvoll.
Ziel ist eine einfache Möglichkeit Signierte Pakete in pacman/libalpm einzubauen.
Für mich scheint die momentan einfachste Möglichkeit libalpm so anzupassen das bei jedem Paket download auch die entsprechende Signatur mit heruntergeladen wird.
Stimmen Paket und Signatur überein und ist die Unterschrift einer bekannten Person soll das Paket installiert werden.
Bisherige erste Versuche:
Mit GPG einen benutzer zum Signieren angelegt. Dieser Signiert Pakete.
Pakete und Signatur werden verifiziert.
ExitCode: 0 - Signatur passt zum Paket. Keine unterscheidung ob der Person vertraut wird
ExitCode: 1 - Signatur und Paket passen nicht zusammen.
ExitCode: 2 - Schlüssel nicht gefunden.
Man könnte jetzt automatisch wenn der ExitCode 0 ist das Paket direkt installieren. Annahme: Schlüssel die root kennt, sind vertrauenswürdig(auch wenn sie es vlt nicht sind)
Bei Exit Code 1 und 2 Warnung ausgeben. Paket löschen
Beides mal das gleiche Paket und Signatur. Aber root kennt Signman nicht
ROOT # gpg --verify pkgs/vlc-1.0.5-3-i686.pkg.tar.gz.sig pkgs/vlc-1.0.5-3-686.pkg.tar.gz
gpg: Unterschrift vom Do 18 Feb 2010 21:25:09 CET mittels DSA-Schlüssel ID 7B06D59F
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden
ROOT # echo $?
2
USER: gpg --verify pkgs/vlc-1.0.5-3-i686.pkg.tar.gz.sig pkgs/vlc-1.0.5-3-i686.pkg.tar.gz
gpg: Unterschrift vom Do 18 Feb 2010 21:25:09 CET mittels DSA-Schlüssel ID 7B06D59F
gpg: Korrekte Unterschrift von "Signman (Signman)"
USER: echo $?
0
