Repository & GPG-Signatur

Hinweis: In dem Thema Repository & GPG-Signatur gibt es 66 Antworten auf 7 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • OK, Spiegel sind immer so eine Sache für sich ...



    Das würde mich schon gewaltig stören. Ich lade mir sichere Software von einem unsicheren Server. Aber jeder, wie er möchte.

  • Poste mal als root ausgeführt:

    Code
    rpm -q gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE}\t%{SUMMARY}\n'
    Code: # rpm -q gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE}\t%{SUMMARY}\n'
    gpg-pubkey-3dbdc284-53674dd4    gpg(openSUSE Project Signing Key <opensuse@opensuse.org>)
    gpg-pubkey-1abd1afb-54176598    gpg(PackMan Project (signing key) <packman@links2linux.de>)
    gpg-pubkey-ee3d166a-5fe932a4    security OBS Project <security@build.opensuse.org> public key
    gpg-pubkey-39db7c82-5f68629b    SuSE Package Signing Key <build@suse.de> public key
    gpg-pubkey-c27aa466-5ff5836d    Vivaldi Package Composer KEY07 <packager@vivaldi.com> public key
    gpg-pubkey-29b700a4-62b07e22    openSUSE Project Signing Key <opensuse@opensuse.org> public key
    gpg-pubkey-9a795806-46bc71d0    PackMan Build Service (PackMan Build Service) <packman@links2linux.de> public key
    gpg-pubkey-4218647e-61f7b089    Vivaldi Package Composer KEY08 <packager@vivaldi.com> public key

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303838 haftet ausdrücklich der jeweilige Autor: dagny

  • OK, Spiegel sind immer so eine Sache für sich ...



    Das würde mich schon gewaltig stören. Ich lade mir sichere Software von einem unsicheren Server. Aber jeder, wie er möchte.

    Ok, da ist was dran. :smilie_school_012:


    Das ist bei mir schon einige Zeit her und da bei der Listung unter http://packman.links2linux.de/mirrors der Spiegelserver mit "http://..." angegeben ist, hatte ich das damals auch einfach so übernommen.


    Habs nach https://ftp.fau.de/packman/suse/openSUSE_Tumbleweed/ geändert.

    Danke für Deinen Hinweis.


    Ich dachte/denke, die Signaturprüfung mit dem GPG-Key gewährleistet die Konsistenz der Pakete.

    Die "openSUSE-Tumbleweed"-Repos stehen auch nur mit "http://..." in den Software Repositories. :/

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303840 haftet ausdrücklich der jeweilige Autor: dagny

  • Code
    gpg-pubkey-3dbdc284-53674dd4    gpg(openSUSE Project Signing Key <opensuse@opensuse.org>)
    gpg-pubkey-1abd1afb-54176598    gpg(PackMan Project (signing key) <packman@links2linux.de>)
    gpg-pubkey-ee3d166a-5fe932a4    security OBS Project <security@build.opensuse.org> public key
    gpg-pubkey-39db7c82-5f68629b    SuSE Package Signing Key <build@suse.de> public key
    gpg-pubkey-c27aa466-5ff5836d    Vivaldi Package Composer KEY07 <packager@vivaldi.com> public key
    gpg-pubkey-29b700a4-62b07e22    openSUSE Project Signing Key <opensuse@opensuse.org> public key
    gpg-pubkey-9a795806-46bc71d0    PackMan Build Service (PackMan Build Service) <packman@links2linux.de> public key
    gpg-pubkey-4218647e-61f7b089    Vivaldi Package Composer KEY08 <packager@vivaldi.com> public key

    Da ist aber Packman 2 mal vorhanden.....

    Lösche beide und als root:

    Code
    zypper clean -a
    Code
    zypper ref

    Da sollte dann eine Abfrage nach dem key erfolgen.

  • Da ist aber Packman 2 mal vorhanden.....

    Lösche beide und als root:

    Code
    zypper clean -a
    Code
    zypper ref

    Da sollte dann eine Abfrage nach dem key erfolgen.

    Ja ich weiß, diesen Schlüssel:

    Code: # PackMan Build Service (PackMan Build Service)
    Schlüssel: F899F20D9A795806
    Name: PackMan Build Service (PackMan Build Service) <packman@links2linux.de>
    Fingerabdruck: 2A6BAA690B3019CE45B3302DF899F20D9A795806
    Erstellt: 10.08.2007
    Der Schlüssel läuft nie ab.

    hatte ich in der Fehlersuche erst hinterher mit aufgenommen. Hat aber auch nichts gebracht.


    Hab die beiden Schlüssel gelöscht und Deine Befehle ausgeführt. Bei der Abfrage:

    habe ich "immer vertrauen" gewählt.

    Jetzt sehen die Schlüssel wieder wie folgt aus:

    Code: # rpm -q gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE}\t%{SUMMARY}\n'
    gpg-pubkey-3dbdc284-53674dd4    gpg(openSUSE Project Signing Key <opensuse@opensuse.org>)
    gpg-pubkey-ee3d166a-5fe932a4    security OBS Project <security@build.opensuse.org> public key
    gpg-pubkey-39db7c82-5f68629b    SuSE Package Signing Key <build@suse.de> public key
    gpg-pubkey-c27aa466-5ff5836d    Vivaldi Package Composer KEY07 <packager@vivaldi.com> public key
    gpg-pubkey-29b700a4-62b07e22    openSUSE Project Signing Key <opensuse@opensuse.org> public key
    gpg-pubkey-4218647e-61f7b089    Vivaldi Package Composer KEY08 <packager@vivaldi.com> public key
    gpg-pubkey-1abd1afb-450ef738    PackMan Project (signing key) <packman@links2linux.de> public key

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Einmal editiert, zuletzt von dagny ()

    Für den Inhalt des Beitrages 303850 haftet ausdrücklich der jeweilige Autor: dagny

  • Ja, das wäre meine nächste Frage gewesen, warum zweimal packman (hatte ich dir nicht weiter oben empfohlen, die Schlüssel von packman zu löschen?) ... und nun die Frage .. warum zwei mal Vivaldi? Was machst du da? :smilie_pc_057:

  • Ja, das wäre meine nächste Frage gewesen, warum zweimal packman (hatte ich dir nicht weiter oben empfohlen, die Schlüssel von packman zu löschen?) ... und nun die Frage .. warum zwei mal Vivaldi? Was machst du da? :smilie_pc_057:

    Das ist ganz einfach und wurde nicht von mir erfunden!

    Die GPG-Keys von Vivaldi haben eine Laufzeit, wie es bei Keys eigentlich üblich sein sollte.

    Mit dem "KEY07" wurden die älteren Vivaldi-Versionen signiert,

    mit dem neuen "KEY08" wird der Vivaldi ab Version "5.6.2867.58 (Stable channel) stable (64-Bit)" signiert.


    Für die Installation des aktuellen Vivalti habe ich einfach den neuen Key eingebunden, da damit auch die neue Version signiert ist!

    Den ältern Key könnte ich natürlich löschen, was ich auch irgendwann machen werde, wenn er abgelaufen ist.

    Er hat aber noch eine Gültigkeit bis 25.02.2023 und schadet ja auch nicht.

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303866 haftet ausdrücklich der jeweilige Autor: dagny

  • Ja, das wäre meine nächste Frage gewesen, warum zweimal packman (hatte ich dir nicht weiter oben empfohlen, die Schlüssel von packman zu löschen?) ... und nun die Frage .. warum zwei mal Vivaldi? Was machst du da? :smilie_pc_057:

    "... (hatte ich dir nicht weiter oben empfohlen, die Schlüssel von packman zu löschen?) ..."

    Hab ich ja gemacht! siehe Post #56

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303867 haftet ausdrücklich der jeweilige Autor: dagny

  • Ja, das wäre meine nächste Frage gewesen, warum zweimal packman (hatte ich dir nicht weiter oben empfohlen, die Schlüssel von packman zu löschen?) ... und nun die Frage .. warum zwei mal Vivaldi? Was machst du da? :smilie_pc_057:

    "... warum zweimal packman ..."

    Beide Packman Schlüssel gibt es u.a. hier: https://ftp.fau.de/packman/

    und auch auf Deinem empfohlenen Link: http://ftp.gwdg.de/pub/linux/misc/packman/

    Die Schlüssel der beiden Quellen sind identisch.

    "Nicht alles, was man nicht versteht, ergibt keinen Sinn." :/

    Für den Inhalt des Beitrages 303869 haftet ausdrücklich der jeweilige Autor: dagny