[packman] Das leidige Thema: gpg key für rpm

Rainer Lay Rainer.Lay at informatik.uni-erlangen.de
Sat Aug 28 09:12:36 CEST 2004 


Ralf Corsepius wrote:

> 
> Fedora.US/Fedora.Extras und viele anderen 3rd-Party Packager für Fedora
> verwenden eine andere Konvention:
> 
> /etc/apt/gpg/gpg-pubkey-8df56d05-3e828977
> 
> Bei der Ziffer handelt es sich um die 16-stellige Key-ID im Hex-Format,
> wie sie intern von rpm intern verwendet wird, vgl.
> # rpm -qa gpg-pubkey
> 
> Diese Konvention erlaubt den Vergleich von gpg-pubkeys in der rpmdb
> (rpm -qa gpg-pubkey) mit zu importierenden Keys (/etc/apt/gpg/*). 
> 
> Das entsprechende Script (/usr/lib/apt/scripts/gpg-import.lua)
> ist Bestandteil des apt-Paketes in Fedora Extra und wurden meines
> Wissens auch von Richard in sein SuSE-apt-Paket übernommen.

Hmm, prinzipiell finde ich solche Konventionen ganz gut. Nachdem beides 
schon da ist, würde ich pers. zusätzlich links anlegen, sodass unsere 
Keys an beiden Stellen verfügbar sind.
Die andere Frage ist, warum Richard einen anderen Platz gewählt hat. Die 
normative Kraft des Faktischen bringt mich aber auf die obige Lösung :-)

> 
> 
>>Du meinst also ein RPM pro Packager?
> 
> Ähem, rpm-seitig wird ein gpg-pubkey bereits als rpm behandelt.
> Ein GPG-pubkey-Paket pro Packager wäre rpm-seitig also gleichbedeutend
> mit 2 rpms pro Key.
Richtig, eins mit dem Key selbst und eins mit key.asc

> 
> Trotzdem hättest Du weiterhin ein Problem diese RPM zu installieren, da
> Du, um ein derartiges Key-Paket zu installieren, erst einmal den Key
> manuell importieren müsstest.
> 
> D.h. um das "Key-Paket" eines Packagers zu installieren müsste man erst
> einmal den Key des Packagers importieren, womit der Sinn des Ganzen ad
> absurdum geführt wird.

Dazu gibts i.A. zwei Ansätze bei den ganzen Krypto-Geschichten:
- eine Zertifizierungsstelle. Die müßte die rpmkey Packet signieren und 
deren Root Key müßte bei der Disti dabeisein. Dazu bieten sich die 
Distri-Hersteller an. Ob die ein Interesse daran haben, weiss ich nicht. 
Ausserdem müßten die sich von der Identität der Packager überzeugen.

Dazu kommt noch das Problem, dass man innerhalb eines rpms keine keys 
importieren kann, da der Lock schon gesetzt ist (habs aber nicht getestet).
Die Lösung mit dem Lua Skript ist für apt Leute ganz nett, aber nicht 
allgemeingültig.
Gibts von unseren SuSE Spionen dazu ein Statement?

Rainer

More information about the Packman mailing list