Signatur Handling von 3rd party Repos

Hinweis: In dem Thema Signatur Handling von 3rd party Repos gibt es 1 Antwort.
  • Findet ihr das Thema Sicherheit von Signaturen ausreichend behandelt bei openSUSE? 1

    1. Ja, ich finde die Signatur von Repos/Software ausreichend behandelt (0) 0%
    2. Ich teile die Kritik, da ist Nachholbedarf (1) 100%
    3. Dieses Thema kümmert mich jetzt nicht so sehr (0) 0%

    Sagt mal, findet ihr das Handling von Repo Signaturen auch so unterirdisch wie ich?

    Ich habe gerade ein Repo, bei dem sich der Schlüssel geändert hat, zypper bietet den neuen Schlüssel an und fragt nach dem Vertrauen.

    Mein erster Gedanke war WTF!?

    Woher soll ich denn wissen, ob der Key vertrauenswürdig ist? Das kann der Enduser doch weder wissen, noch prüfen.


    In der Regel läuft das auf TOFU hinaus, aber selbst das kriegt openSUSE nicht hin.

    Für TOFU hätte der neue Schlüssel mit dem alten Schlüssel signiert sein müssen und dann hätte man eine Vertrauenskette, die zypper würde prüfen können. Man müsste dann nur initial dem allerersten Schlüssel eines Repos vertrauen. Aber so, kommt jeder neue Repo key "nackt" daher.


    Eine andere Methode wäre, die Repo Keys über ein zentrales System rpm zu verteilen, der Repo Betreiber müsste dafür seinen Key beim Projekt einreichen, der kommt in das RPM rein, dass dann als Update angeboten wird. Das Keyhandling wäre dann vollkommen transparent für den Benutzer.


    Sorry, wenn mir gerade die Hutschnur platzt, aber ich finde das aktuelle Handling einfach dilettantisch und unwürdig für einen solchen großen Player... Dass es bis heute keinen eigenen zentralen Keyserver für das Projekt gibt ist auch so eine Sache.


    Dass die security updates Emails nicht mehr signiert werden, passt wie die Faus aufs Auge.

  • Tja, dann schreib doch einen Bugreport. Wenn du dich hier im Forum ereiferst ändert sich am Sachverhalt genau nichts. Dies ist ein privates Forum und hat mit opensuse selber nichts zu tun. Deine Ausführungen verpuffen hier also in der Luft.