Dev Talk:LiveCD

Aus YaCyWiki
Wechseln zu: Navigation, Suche

Script signieren?

    • Prüfung beim start (inline sig möglich?)
      • ein manipuliertes script wird auch auf einen anderen key prüfen. wie kann man das absichern? gar nicht?!
        • es darf natürlich nur eine offizielle URL für das Script geben, das wird dann signiert. Klar, andere können ihrs auch signieren, aber das sind dann halt inoffizielle --Slick 09:53, 28. Apr 2006 (CEST)
Die Signatur kann aber nur manuell geprüft werden. Automatisch würde jeder Bösewicht auch die Signatur bzw. den verwendeten Schlüssel ändern, und beim firstrun hat man noch keine Informationen über den "richtigen" Schlüssel. Allo 23:06, 28. Apr 2006 (CEST)
Du hast mich falsch verstanden. Steht denn die MD5 zu einer Knoppix-CD auch auf der CD? Also was ich meine, irgendwo wird das Script doch publiziert werden, sagen wir mal auf yacy.net. Dort wird dann auch auf die Signierung hingewiesen und die Signierung verlinkt. Damit ist garantiert das diese Script von yacy.net von (vertrauenswürdigen) signiert wurde. Ein "Angreifer" kann das Script zwar kopieren und selbst signieren, er kann jedoch nicht den Link auf yacy.net manipulieren. Natürlich muß dann der User die Signatur selbst prüfen, aber die Option steht ihm ja frei und wer wget script -O - | bash ungeprüft macht ist selbst schuld. --Slick 02:00, 29. Apr 2006 (CEST)