Wie stellt man die Integrität der Paketverwaltung als zentrales Instrument der Softwareverwaltung unter Linux sicher. Diese Frage müssen sich gegenwärtig alle Distributionen stellen lassen, die auf RPM aufbauen, weil die dortige OpenPGP-Implementierung unzureichend ist.
In diesem Blog beklage ich mich gerne über die Berichterstattung bei Heise. Darum möchte ich heute die Gelegenheit nutzen, um auf einen lesenswerten Artikel hinzuweisen. Dort wird zu Recht die Frage diskutiert, welchen Lehren eigentlich aus dem RPM-Problem zu ziehen sind.
Die RPM-Entwickler möchten aktuell die fehlende Funktionalität nicht nachrüsten, weil das ihrer Meinung nach nicht die Aufgabe von RPM ist. Viele logische Folgeprobleme einer Implementierung, wie z. B. der Umgang mit bereits installierten Paketen, deren Schlüssel nachträglich zurückgezogen wurde und weitere Hürden unterstützen diese Position.
Jürgen Schmidt stellt daher berechtigterweise die Frage, ob OpenPGP als „Eierlegende Wollmilchsau“ überhaupt das geeignete Werkzeug für die Signatur von Paketen ist oder ob dafür nicht Alternativen wie das OpenBSD-Tool signify klüger wären.
Meiner Meinung nach ist es gut, dass diese Debatte geführt wird und sie reicht über den Kreis der RPM-Distributionen hinaus. Die Verwaltung aller Betriebssystembestandteile – vom Kernel bis zum Browser – machen die Paketverwaltung zum Kern jeder Distribution. Weil keine verbreitete Linux-Distribution hier zwischen Betriebssystem und Anwendungen trennt und einmal installierte Anwendungen in kein nennenswertes Rechtesystem – abgesehen von Administratorrechten und Dateirechten – eingebunden sind, ist die Integrität der Paketverwaltung umso wichtiger.
Das mag im Servereinsatz keine so große Rolle spielen, weil versierte Administratoren ihre Systeme pflegen und dank Containern & Co längst neue Technologien Einzug gehalten haben. Niemand installiert heute noch einen Linux-Server auf normaler Hardware und betreibt auf diesem direkt zig Dienste ohne Abschirmung gegeneinander und stellt den direkt ins Internet.
Beim Desktop ist die Situation aber viel prekärer, als es nach außen den Anschein hat. Dabei geht es nicht nur um die Paketquellen der Distributoren (über deren Integrität man als Außenstehender auch nur mutmaßen kann), sondern die meisten Anwender binden mehr oder minder vertrauenswürdige Paketquellen von Dritten ein, importieren deren Schlüssel und viel zu wenige verbinden dieses Verhalten mit kluger Priorisierung der Paketquellen. Meiner Ansicht nach retten nur die geringen Marktanteile von Linux auf dem Desktop hier das Ökosystem vor seinem ersten richtig großen Unfall.
Wenn die Linux-Gemeinschaft am Prinzip der Paketverwaltung als Allzweckwaffe festhalten möchte – und das ist mein Eindruck angesichts der verbreiteten Ablehnung von Flatpak und Snap – muss die Integrität dieses zentralen Bestandteils über jeden Zweifel erhaben sein.