RPM und Signaturen – Wie die Integrität der Paketverwaltung schützen?

Wie stellt man die Integrität der Paketverwaltung als zentrales Instrument der Softwareverwaltung unter Linux sicher. Diese Frage müssen sich gegenwärtig alle Distributionen stellen lassen, die auf RPM aufbauen, weil die dortige OpenPGP-Implementierung unzureichend ist.

In diesem Blog beklage ich mich gerne über die Berichterstattung bei Heise. Darum möchte ich heute die Gelegenheit nutzen, um auf einen lesenswerten Artikel hinzuweisen. Dort wird zu Recht die Frage diskutiert, welchen Lehren eigentlich aus dem RPM-Problem zu ziehen sind.

Die RPM-Entwickler möchten aktuell die fehlende Funktionalität nicht nachrüsten, weil das ihrer Meinung nach nicht die Aufgabe von RPM ist. Viele logische Folgeprobleme einer Implementierung, wie z. B. der Umgang mit bereits installierten Paketen, deren Schlüssel nachträglich zurückgezogen wurde und weitere Hürden unterstützen diese Position.

Jürgen Schmidt stellt daher berechtigterweise die Frage, ob OpenPGP als „Eierlegende Wollmilchsau“ überhaupt das geeignete Werkzeug für die Signatur von Paketen ist oder ob dafür nicht Alternativen wie das OpenBSD-Tool signify klüger wären.

Meiner Meinung nach ist es gut, dass diese Debatte geführt wird und sie reicht über den Kreis der RPM-Distributionen hinaus. Die Verwaltung aller Betriebssystembestandteile – vom Kernel bis zum Browser – machen die Paketverwaltung zum Kern jeder Distribution. Weil keine verbreitete Linux-Distribution hier zwischen Betriebssystem und Anwendungen trennt und einmal installierte Anwendungen in kein nennenswertes Rechtesystem – abgesehen von Administratorrechten und Dateirechten – eingebunden sind, ist die Integrität der Paketverwaltung umso wichtiger.

Das mag im Servereinsatz keine so große Rolle spielen, weil versierte Administratoren ihre Systeme pflegen und dank Containern & Co längst neue Technologien Einzug gehalten haben. Niemand installiert heute noch einen Linux-Server auf normaler Hardware und betreibt auf diesem direkt zig Dienste ohne Abschirmung gegeneinander und stellt den direkt ins Internet.

Beim Desktop ist die Situation aber viel prekärer, als es nach außen den Anschein hat. Dabei geht es nicht nur um die Paketquellen der Distributoren (über deren Integrität man als Außenstehender auch nur mutmaßen kann), sondern die meisten Anwender binden mehr oder minder vertrauenswürdige Paketquellen von Dritten ein, importieren deren Schlüssel und viel zu wenige verbinden dieses Verhalten mit kluger Priorisierung der Paketquellen. Meiner Ansicht nach retten nur die geringen Marktanteile von Linux auf dem Desktop hier das Ökosystem vor seinem ersten richtig großen Unfall.

Wenn die Linux-Gemeinschaft am Prinzip der Paketverwaltung als Allzweckwaffe festhalten möchte – und das ist mein Eindruck angesichts der verbreiteten Ablehnung von Flatpak und Snap – muss die Integrität dieses zentralen Bestandteils über jeden Zweifel erhaben sein.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...