Repository & GPG-Signatur

Hinweis: In dem Thema Repository & GPG-Signatur gibt es 66 Antworten auf 7 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Hallo,

    wegen Repository & GPG-Signatur habe ich Verstäntnissfragen und bitte um Hilfe.


    Meine Software beziehe ich ja in der Regel aus den Repositorys.

    Jedes Repository wiederum signiert die angebotene Software mit einem aktuellen GPG-Schlüssel.

    Ich hoffe, das ist soweit richtig.


    1. Frage) Wie erhalte ich den aktuellen Schlüssel, wenn der alte ausgelaufen ist bzw. kurz vor seinem Ablaufdatum steht?


    Meine Frage hat folgenden Hintergrund:

    Ich kann mich nicht erinneren, jemals einen Schlüssel z.B. aus den Haupt-Repositories jemals händisch mit YaST installiert zu haben, scheinbar geht das automatisch.


    Nun habe ich zusätzlich und schon seit langer Zeit den Browser Vivaldi mit seinem Repository https://repo.vivaldi.com/stable/rpm/x86_64/ installiert.

    Bei dem heute durchgeführten zypper dup wurde mir mitgeteilt, dass die aktuelle Vivaldi-Version 5.6.2867.58 nicht überprüft werden kann, da mir dazu der GPG-Schlüssel fehlt.

    Zwar ist der alte GPG-Schlüssel von Vivaldi noch gültig, aber der neue Vivaldi-Browser ist scheinbar nur mit dem neuen Schlüssel signiert.

    Wenn ich den neuen Schlüssel mit sudo rpm --import https://repo.vivaldi.com/stable/linux_signing_key.pub installiere, läuft alles wie gehabt.


    2.Frage) Muss ich mich immer "händisch" um den aktuellen Schlüssel kümmern oder kann man das einfacher haben?


    Danke für Euere Hilfe

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303721 haftet ausdrücklich der jeweilige Autor: dagny

  • Da Vivaldi kein openSUSE Programm ist, wirst du dich bei einigen externen Programmen um einige Sachen selbst kümmern müssen.

  • Da Vivaldi kein openSUSE Programm ist, wirst du dich bei einigen externen Programmen um einige Sachen selbst kümmern müssen.

    Danke Alero.


    Kann mir jemand bitte sagen, wie ich bei den openSUSE-Repositories jeweils die aktuellen Schlüssel (scheinbar automatisch) erhalte und wie das funktioniert?

    Und auch bei meinem eingebundenen Repository von Packman erhalte ich die aktuellen GPG-Schlüssel bisher immer automatisch.

    Könnte man das bei Vivaldi dann nicht auch so hin bekommen?


    Danke Euch

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303731 haftet ausdrücklich der jeweilige Autor: dagny

  • Vivaldi selbst sagt dazu:


    Zitat

    openSUSE-basierte Distributionen:

    Code
    sudo zypper --no-gpg-checks --non-interactive install ./vivaldi*.rpm

    Das Verhindern von GPG-Prüfungen ist nur für die Erstinstallation erforderlich, danach fügt Vivaldi seine öffentlichen GPG-Schlüssel hinzu und konfiguriert automatisch ein geeignetes Repository für Updates.

    Verstanden?

    Natürlich musst du vorher das rpm herunter geladen haben und die Signatur checken, damit es auch eine saubere installation ist. Wenn du natürlich Vivaldi schon laufen hast, ohne wie oben angegeben zu installieren, musst du wahrscheinlich den neuen Schlüssel immer händisch hinzu fügen.

  • Poste mal als root ausgeführt die komplette Ausgabe von:

    Code
    zypper in -f vivaldi-stable

    Wenn ich die aktuellen GPG-Schlüssel in YaST --> Software-Repoitories --> GPG-Schlüssel ... eingebunden habe ist die Ausgabe folgende:

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303759 haftet ausdrücklich der jeweilige Autor: dagny

  • Und noch etwas verstehe ich nicht:

    Als ich heute ein Upgrade mit zypper dup laufen ließ, kamen bei dem Repository Packman viele Warnmeldungen mit dem Format:

    Zitat

    warning: RPM-PAKET: Header V4 RSA/SHA1 Signature, key ID 1abd1afb: NOKEY

    z.B.
    warning: /var/cache/zypp/packages/packman.inode.at-openSUSE_Tumbleweed/Games/x86_64/crafty-23.4-1.270.x86_64.rpm: Header V4 RSA/SHA1 Signature, key ID 1abd1afb: NOKEY

    Wie kommt es zu diesen Warnungen, wenn die Signaturdatei vom Packman Repository aktuell ist?

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Einmal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 303761 haftet ausdrücklich der jeweilige Autor: dagny

  • Dann ist der key doch importiert......

    Ja hier war der Key von mir händisch importiert worden.

    Ohne Key sieht die Ausgabe wie folgt aus:

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303762 haftet ausdrücklich der jeweilige Autor: dagny

  • Code
    warning: /var/cache/zypp/packages/packman.inode.at-openSUSE_Tumbleweed/Games/x86_64/crafty-23.4-1.270.x86_64.rpm: Header V4 RSA/SHA1 Signature, key ID 1abd1afb: NOKEY


    packman.inode.at gibt es nicht mehr.....

    Für den Inhalt des Beitrages 303763 haftet ausdrücklich der jeweilige Autor: Sauerland