{"id":3770,"date":"2011-09-14T18:00:02","date_gmt":"2011-09-14T16:00:02","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=3770"},"modified":"2019-10-24T01:47:04","modified_gmt":"2019-10-23T23:47:04","slug":"pacman-und-das-bedurfnis-nach-sicherheit","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2011\/09\/14\/pacman-und-das-bedurfnis-nach-sicherheit\/","title":{"rendered":"Pacman und das Bed\u00fcrfnis nach Sicherheit"},"content":{"rendered":"<p>In den letzten Tagen und Wochen habe ich mich \u00f6fter mit Pacman dem Paketmanager von Arch Linux auseinander setzen m\u00fcssen. Kurioserweise ist er mir bei der Konfiguration von <a href=\"https:\/\/www.gambaru.de\/blog\/2011\/06\/19\/connochaetos-moderne-software-fur-alte-computer\/\">ConnochaetOS<\/a> vertrauter geworden und weniger beim Umgang mit Arch Linux selbst. Irgendwann habe ich mich gewundert, wie Pacman eigentlich die Integrit\u00e4t der heruntergeladenen Pakete sicherstellt und nach Parallelen zu Debian GNU\/Linux gesucht.<br \/>\nEin wichtiges Hilfsmittel sind <a href=\"https:\/\/secure.wikimedia.org\/wikipedia\/de\/wiki\/Message-Digest_Algorithm_5\">MD5<\/a>-Hashes um zu bestimmen, ob ein vom Server heruntergeladenes Paket auch tats\u00e4chlich intakt auf dem eigenen Rechner ankommt. Auch Arch Linux greift genau auf diese Methode zur\u00fcck. MD5 gilt seit einiger Zeit nicht mehr als ausreichend sicher und eignet sich daher auch nicht um die Echtheit von Paketen zu verifizieren.<br \/>\nMittlerweile wei\u00df ich auch, dass im Gegensatz zu Debians apt der Paketmanager von Arch Linux noch \u00fcber keine ausreichende Implementierung zur \u00dcberpr\u00fcfung von sicheren Paketsignaturen mit Hilfe von GnuPG verf\u00fcgt. Bei meiner Suche nach Informationen bin ich dann auf einige lesenswerte und interessante Artikel gesto\u00dfen.<br \/>\nZum einen w\u00e4re da der LWN Artikel \"<a href=\"http:\/\/lwn.net\/Articles\/434990\/\">Arch Linux and (the lack of) package signing<\/a>\" und <a href=\"http:\/\/www.toofishes.net\/blog\/real-story-behind-arch-linux-package-signing\/\">die Antwort darauf von Dan McGee<\/a>, einer der Hauptentwickler von Pacman und Arch Linux. Kurz zusammengefasst wurde die Problematik am 23. M\u00e4rz 2011 deutlich in den Fokus der interessierten \u00d6ffentlichkeit ger\u00fcckt, obwohl das Problem schon seit mehreren Jahren im Bugtracker und Forum von Arch Linux bekannt war. Nach dem ich mir beide Artikel durchgelesen habe, denke ich, dass die Behauptung zutrifft, dass eine funktionierende Paketsignierung bei Arch Linux nicht existiert.<\/p>\n<p>Weniger schwer wiegen da die verletzten Befindlichkeiten der Pacman-Entwickler und des im LWN-Artikels zitierten Arch-Nutzers, der die ganze Sache \"ans Licht brachte\". Offensichtlich gab es seit Jahren aus verschiedenen Gr\u00fcnden kein Interesse ein solches Sicherheitsfeature zu implementieren und gleichzeitig auch keine echte Hilfe von Seiten der Community. Die Entwicklung stagnierte. Die Frage ist nur, ob man ein solches Problem nur zur Aufgabe einiger Paketentwickler degradieren oder es nicht doch besser zu einer Aufgabe und zu einem Ziel der ganzen Distribution h\u00e4tte machen sollen.<br \/>\nNat\u00fcrlich ist jeder User immer ein St\u00fcck weit selbst f\u00fcr die Sicherheit seines Systems verantwortlich. Dennoch sollte es eine M\u00f6glichkeit geben zu \u00fcberpr\u00fcfen, ob es sich bei den heruntergeladenen Paketen auch wirklich um die offiziellen handelt und nicht m\u00f6glicherweise doch um kompromittierte.<br \/>\nSeit dem Artikel sind sechs Monate vergangen und ein Blick auf die offizielle ArchLinux-Seite zeigt, dass man das Problem zumindest nicht versucht zu verbergen. Es gibt eine eigene Wikiseite zum Thema \"<a href=\"https:\/\/wiki.archlinux.org\/index.php\/Pacman_package_signing\">Pacman package signing<\/a>\" und auch die <a href=\"https:\/\/wiki.archlinux.org\/index.php\/FAQ#Q.29_Why_would_I_not_want_to_use_Arch.3F\">FAQ<\/a> listet unter dem Punkt \"Warum man Arch nicht nutzen sollte\" auf, dass man dann auf eine sichere Paketsignierung nicht verzichten muss.<\/p>\n<p>Arch Linux ist nicht die einzige Distribution, die eine solche Verifizierung noch nicht vorgesehen hat. Sie wird deswegen auch nicht nutzlos. Selbst Debian hatte nicht von Anfang an eine M\u00f6glichkeit um die Echtheit von Paketen zu \u00fcberpr\u00fcfen. Doch im Gegensatz zu Arch Linux gab es bereits vor elf Jahren eine breite Diskussion zu diesem Thema. In der Dokumentation zur <a href=\"http:\/\/www.debian.org\/doc\/manuals\/securing-debian-howto\/ch7.de.html#s-deb-pack-sign\">Absicherung von Debian<\/a> finden sich hier zwei Links zu den w\u00f6chentlichen Neuigkeiten aus dem Jahr <a href=\"http:\/\/www.debian.org\/News\/weekly\/2000\/11\/\">2000<\/a> und <a href=\"http:\/\/www.debian.org\/News\/weekly\/2001\/8\/\">2001<\/a>.<br \/>\nWenn man etwas daraus lernen kann dann das, man sollte jede Distribution darauf \u00fcberpr\u00fcfen, ob sie zu den pers\u00f6nlichen Anforderungen passt. Wenn ich mich auf meine Software zu 100% in jeder Situation verlassen muss, greife ich eher zu Debian Stable als zu Arch Linux. Wenn ich der Meinung bin, dass das Risiko auf ein paar \u00e4lteren privaten Laptops vernachl\u00e4ssigbar ist und die Distribution ansonsten wunderbar f\u00fcr mich funktioniert, werde ich die betreffende Distribution auch weiterhin verwenden. Ganz allgemein gesprochen kann es nicht schaden die vielen Drittquellen, wozu z.B auch die PPAs bei Ubuntu geh\u00f6ren, genauer unter die Lupe zu nehmen und nicht jedes Paket blindlings herunterzuladen. Schlie\u00dflich sollte doch ein zentrales und vor allem sicheres Paketmanagement Linux von anderen Betriebssystemen positiv unterscheiden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In den letzten Tagen und Wochen habe ich mich \u00f6fter mit Pacman dem Paketmanager von Arch Linux auseinander setzen m\u00fcssen. Kurioserweise ist er mir bei der Konfiguration von ConnochaetOS vertrauter geworden und weniger beim Umgang mit Arch Linux selbst. Irgendwann habe ich mich gewundert, wie Pacman eigentlich die Integrit\u00e4t der heruntergeladenen Pakete sicherstellt und nach &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/gambaru.de\/blog\/2011\/09\/14\/pacman-und-das-bedurfnis-nach-sicherheit\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201ePacman und das Bed\u00fcrfnis nach Sicherheit\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[20,53,149,178],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/3770"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=3770"}],"version-history":[{"count":1,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/3770\/revisions"}],"predecessor-version":[{"id":11016,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/3770\/revisions\/11016"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=3770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=3770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=3770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}