Open Source im professionellen Einsatz
Linux-Magazin 03/2017
© Andriy Popov, 123RF

© Andriy Popov, 123RF

Digitale Signaturen im Paketmanagement

Paket-Versicherung

Seriöse Distributionen versuchen ihre Repositories kryptographisch gegen Manipulationen und Übertragungsfehler zu schützen. Konzeptionell zwar ähnlich, gehen Arch Linux, Debian, Fedora, Open Suse und Ubuntu dabei unterschiedlich aufwändige Wege.

194

Viele Distributionen entwickeln, testen, bauen und verteilen ihre Software auf einem gewachsenen Zoo von Servern, Mirrors und Arbeitsrechnern, die zentral zu managen und abzusichern kaum möglich scheint. Personell sind sie zudem auf die Mitarbeit einer schwer überschaubaren Anzahl internationaler Helfer angewiesen. Die technische und menschliche Diversität entfaltet eine sehr große Angriffsfläche für externe und interne Angreifer, die danach trachten, gängige Pakete der Distribution mit Malware zu spicken. Beim nächsten Update ziehen sich Hunderttausende Linux-Rechner vergiftete Software und installieren sie unter Rootrechten. Der Schaden könnte größer kaum sein.

Und die Gefahr ist weniger abstrakt, als mancher meint. Die Vergangenheit hat gezeigt, dass immer wieder Projekte nach Hackerangriffen einen oder mehrere Server vom Netz nehmen mussten. Entsprechend groß ist die Motivation zumindest aller großen Distributionen, sich vor untergeschobenen Paketen zu schützen. Im Kern geht es um zwei Maßnahmen – eine simple und eine kryptographische.

Höhere Mathematik

Zum einen berechnen die Projekte für jedes Paket eine Prüfsumme. Mit ihr können Anwender feststellen, ob das Paket fehlerfrei durch das Internet geflutscht ist. Die Hashverfahren MD5, SHA1 und SHA256 sind dafür gängig.

[...]

Linux-Magazin Online veröffentlicht alle Print-Artikel, die seit 2001 im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 3000 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine kleine Gebühr fällig.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Fedora-Pakete: Umstellung auf neuen Schlüssel beginnt

    Nach dem Einbruch in einen seiner Server tauscht das Fedora-Projekt die Schlüssel aus, mit denen es Pakete für seine Linux-Distribution signiert. Heute beginnt die Umstellung.

  • Neuer Public Key für Debian-Pakete

    Das Debian-Projekt tauscht den Schlüssel für die digitale Signierung der Deb-Archive aus. Dabei handelt es sich um eine reine Routineangelegenheit.

  • RPMs signieren

    Sichere Software entwickeln ist das eine. Genauso wichtig ist es, die Programme auf verlässlichen, nachvollziehbaren Wegen zum Anwender zu bringen. Dieser Artikel zeigt, wie Entwickler RPMs erstellen, signieren, in ein Repository stellen und sie vor Fehlern oder Manipulationen durch Dritte schützen.

  • Arch Linux führt signierte Pakete ein

    Die Arch-Linux-Entwickler haben den distributionseigenen Paketmanager Pacman in Version 4.0.1 veröffentlicht, die mit Signaturen umgehen kann.

  • Nach dem Einbruch: Fedora plant Schlüssel-Migration

    Bei einem Einbruch in die Server des Fedora-Projekts wurde möglicherweise ein kryptografischer Schlüssel kompromittiert. Nun diskutiert das Projekt, wie sich dieser ablösen lässt.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.