Felsen23 schrieb:
Was ist der Mehrwert an Sicherheit bei GPG-Keys? Bei einigen Linux Distributionen wie z.B. Arch gibt es ja keinen, ist das ein Sicherheitsrisiko und in wie fern? Und wie sieht es mit Prüfsummen aus, reichen die als Sichertheitsmaßnahme völlig aus, oder bringt es so gut wie nichts an Mehrwert für die Sicherheit?
Die Prüfsummen dienen dazu Veränderungen an den Dateien zu erkennen, dann stimmt die Prüfsumme nämlich nicht mehr. Das schützt auch vor Übertragungsfehlern zwischen der Paketquelle und deinem Rechner. Signaturen mit GPG gehen noch einen Schritt weiter, eine gültige Signatur stellt nämlich sicher, dass das Paket von jemandem erstellt wurde, der im Besitz des Schlüssels ist. Und das sind im Idealfall nur wenige vertrauenswürdige Menschen.
Ich frage dies, weil ich gerne wissen möchte, ob es vielleicht ein Sicherheitsrisiko darstellt Linux Distributionen wie Arch einzusetzen, da es mir wirklich sehr gefällt.
Ja und nein. Auch die Paketquellen bei Arch (vom AUR mal abgesehen) werden von sogenannten Trusted Users betreut … Andere Menschen haben gar keinen Zugriff auf die Paketquellen. Dass da bei manchen Paketmanagern noch ein GPG-Key dabei ist, bedeutet lediglich eine zusätzliche Kontrolle. Letztendlich wird jemand mit Zugriff auf die Paketquelle aber auch den Schlüssel haben …
In beiden Fällen musst du den Maintainern, also den Menschen mit Zugriff auf die Paketquellen vertrauen, dass die Pakete in der Paketquelle in Ordnung sind.
~jug