[packman] rpm 4.1 signature Problem

Ralf Corsepius corsepiu at faw.uni-ulm.de
Fri Mar 5 14:21:43 CET 2004 

On Fri, 2004-03-05 at 11:46, Rainer Lay wrote:
> Es scheint, dass rpm mit signatures nicht zurechtkommt. Er fasst die als 
> eigene gpgkeys auf.
Hmm, kannst Du das mal näher ausführen?

>  Ich musste also:
> a) meine keys löschen (dazu war "rpm -e --allmatches" notwendig, da es 
> mehrere Fassungen mit gleichem Namen-Version-Release gab).
Unter RH/Fedora ein alter Hut ;)

> b) eine signaturelose Fassung meines Keys erzeugen und diese in rpm 
> importieren.
Genau. 

> Womit wir wieder beim nächsten Problem sind. Ab rpm 4.1 scheint rpm per 
> default die Signatures zu prüfen.

Ja.
>  D.h. unsere User werden das PRoblem 
> auch bekommen. Wenn sie das bestehende public-keys.asc importieren, 
> bekommen sie daselbe Problem wir ich, da auch dort viele Signaturen drin 
> sind.
Aha, ich denke, ich verstehe nun, was Du oben meintest.

Der normale Weg besteht darin sich den Key des Unterzeichners aus einer
vertrauenswürdigen Quelle in seinen lokalen Keyring zu importieren und
anschliessend aus dem lokalen Keyring in den Keyring von rpm zu
importieren:
gpg --recv-keys $KEYID
gpg --export --armor $KEYID > gpg-pubkey-$KEYID
rpm --import gpg-pubkey-$KEYID

Hintergrund: Anders als rpm < 4.1, ignoriert rpm > 4.1 gpg vollständig
und verlässt sich nur auf seine gpg-pubkeys.

> Das public-keys file zu bereinigen ist mir zu aufwendig. Dazu muss bei 
> jedem Key für jede uid die Signatures gelöscht werden.
Das public-keys file in gpg zu importieren und anschliessend in rpm zu
importieren sollte funktionieren.

>  - kgpg kann das 
> leider nicht.

> Eine Alternative wäre, über das Web Interface neben jedem Packager ein 
> bereinigtes Key File (diese einzelnen Packagers) zu hinterlegen. Bei 
> Bedarf können  die User das ziehen und installieren.
Halte ich nicht viel davon (Siehe oben). Theoretisch sollte es reichen
den Umweg über gpg zu gehen.

> Richtig doll ist das aber auch nicht.
Eine weitere Alternative wäre, alle Packman gpg-pubkeys in ein RPM zu
packen und script-gesteuert in die rpmdb zu importieren (Fedora's apt
verwendet genau ein derartiges Script)

> Anfragen werden noch einige kommen, schätze ich.
> 
> BTW, wenn die rpms inzwischen intern signiert werden, brauchen wir die 
> rpm.asc files noch?
Ich denke nein. Offen gesagt, den Sinn der RPM.asc's habe ich nie
verstanden, da RPM schon seit einer geraumen Weile interne Sigs
beherrscht (IIRC, war das selbst bei RPM-3.0.x schon der Fall).

Ralf

More information about the Packman mailing list