• Startseite
• Blog
  • Django
  • eZ430-Chronos
  • Linux
  • Netzwerk
  • Python
  • Touchpanel
  • Vermischtes
  • Virtualisierung
  • Webdesign
• Kontakt
• Datenschutz
• Impressum

• PulseAudio
• lxml
• html5shiv
• badblocks
• Grub2, BIOS, GPT

APT-GPG-Signaturen

Bei gängigen Debian-basierten Distributionen ist es Gang und Gebe, APT-Pakete mit GPG-Signaturen auf Übertragungsfehler oder Manipulationen zu überprüfen. Dazu besitzt jedes System einen öffentlichen GPG-Schlüssel für das APT-Verzeichnis, mit dem es die Signaturen überprüfen kann. Die öffentlichen GPG-Schlüssel werden auf den Installationsmedien mitgeliefert und sind im APT-Paket "debian-archive-keyring" enthalten. Über eine Aktualisierung dieses Pakets können regelmäßig neue Schlüssel verteilt werden um die Angriffswahrscheinlichkeit weiter zu reduzieren. Alte GPG-Schlüssel werden dann nichtmehr verwendet und ungültig.

Aktualisiert man ein System längere Zeit nicht, kann es passieren, dass man ein Update dieser GPG-Schlüssel verschläft. Man kann dann die Integrität der APT-Pakete nichtmehr verifizieren, weil sie mit einem neuen Schlüssel signiert sind, der dem System nicht bekannt ist.

Um die neuen GPG-Schlüssel zu bekommen, muss man das Paket "debian-archive-keyring" manuell aktualisieren. Hierbei sollte man sicherstellen, dass das Update nicht von einem Angreifer verfälscht oder durch einen Übertragungsfehler beeinträchtigt wurde, weil sonst die Authenzität der APT-Pakete nichtmehr gewährleistet werden kann und es einem Angreifer möglich ist, manipulierte APT-Pakete unerkannt in das System einzuschleusen.

Das Paket aktualisiert man wie folgt:

apt-get install  debian-archive-keyring

(Einige Internetquellen empfehlen, auch gleich das Paket "debian-keyring" mitzuinstallieren, bei mir hat es bisher aber stehts ohne funktioniert.)

Leider ist es auf diesem Wege nicht möglich, die fehlerfreie Übertragung des Paketes (das ja selbst aufgrund fehlender Signatur nicht überprüft werden kann) zu gewährleisten. Alternativ kann man sich das Paket auch manuell von der Repository-Seite der Distribution herunterladen. Dort sollte sich ein Hash-Wert finden lassen, der nach dem Download überprüft werden kann. So wird die Integrität des Paketes überprüft.

Dass sich für dieses Problem keine 100%ig zufriedenstellende, garantiert sichere Lösung finden lässt, verdeutlicht gut, warum man ein Computersystem stehts mit Sicherheitsupdates versorgen sollte.

Tags: Linux