Als Debian Anwender ging ich bisher eigentlich davon aus das vom jeweiligen Packet Management Tool z.B aptitude auch automatisch eine Prüfung der .deb Pakete mit der jeweiligen Signatur (Package Signing Key) des Paketbuilders durchgeführt wird.
Das ganze soll ja eigentlich gewährleisten, dass niemandem ein manipuliertes Software Paket unter geschoben wird, oder? Bisher habe ich generell nur Debian Packages Repositorys ausgewählt und des immer vermieden Pakete ansonsten irgendwo anderweitig zu beziehen. Obwohl das ja eigentlich keine rolle spielen dürfte, wenn jedes Paket vor der Installation mit dem Key vergleichen wird.
Wie ist das eigentlich per Default mit einer frisch installierten Debian Version geregelt?
Die Entwickler vom FWBuilder weisen nämlich auf das Programm debsig-verify hin.
Zitat:
Configuring debsig-verify to verify package signatures
This part is optional, although it is highly recommended in order to ensure authenticity of the installed fwbuilder packages. However, if you do not configure debsig-verify, package signatures will not be verified but apt tools will try to install them anyway.
dpkg -l debsig-verify
Kein Paket gefunden, das auf debsig-verify passt.
Mit anderen Worten ich habe bisher immer brav die Keys Importiert aber ein Abgleich bevor Pakete installiert werden hat nicht statt gefunden?
