[packman] rpm 4.1 signature Problem

Herbert Graeber herbert at links2linux.de
Sat Mar 6 00:30:28 CET 2004


Am Freitag, 5. März 2004 14:21 schrieb Ralf Corsepius:
> [...]
> > b) eine signaturelose Fassung meines Keys erzeugen und diese in
> > rpm importieren.
>
> Genau.

Habe ich ausprobiert. Es hat genügt, meinen Public-Key von kgpg (von 
KDE 3.2) aus zu exportieren und per rpm --import zu importieren. 
Damit bekomme ich bei meinen RPMs keine Fahler mehr.

> > Womit wir wieder beim nächsten Problem sind. Ab rpm 4.1 scheint
> > rpm per default die Signatures zu prüfen.
>
> Ja.
>
> >  D.h. unsere User werden das PRoblem
> > auch bekommen. Wenn sie das bestehende public-keys.asc
> > importieren, bekommen sie daselbe Problem wir ich, da auch dort
> > viele Signaturen drin sind.

Ich habe nun die aktuelle public-keys.asc ebenfalls mit rpm --import 
importiert. Nun melden alle Packman-Pakete keine Fehler mehr.

> Aha, ich denke, ich verstehe nun, was Du oben meintest.
>
> Der normale Weg besteht darin sich den Key des Unterzeichners aus
> einer vertrauenswürdigen Quelle in seinen lokalen Keyring zu
> importieren und anschliessend aus dem lokalen Keyring in den
> Keyring von rpm zu importieren:
> gpg --recv-keys $KEYID
> gpg --export --armor $KEYID > gpg-pubkey-$KEYID
> rpm --import gpg-pubkey-$KEYID
>
> Hintergrund: Anders als rpm < 4.1, ignoriert rpm > 4.1 gpg
> vollständig und verlässt sich nur auf seine gpg-pubkeys.

Aber nur beim verifizieren. Zum signieren wird weiterhin gpg oder pgp 
benötigt (Quelle: man rpm).

> > Das public-keys file zu bereinigen ist mir zu aufwendig. Dazu
> > muss bei jedem Key für jede uid die Signatures gelöscht werden.
>
> Das public-keys file in gpg zu importieren und anschliessend in rpm
> zu importieren sollte funktionieren.

Tut es. siehe oben.

> >  - kgpg kann das
> > leider nicht.

Doch mit einzelnen Keys scheint das zu klappen.

> > Eine Alternative wäre, über das Web Interface neben jedem
> > Packager ein bereinigtes Key File (diese einzelnen Packagers) zu
> > hinterlegen. Bei Bedarf können  die User das ziehen und
> > installieren.
>
> Halte ich nicht viel davon (Siehe oben). Theoretisch sollte es
> reichen den Umweg über gpg zu gehen.

> > Richtig doll ist das aber auch nicht.
>
> Eine weitere Alternative wäre, alle Packman gpg-pubkeys in ein RPM
> zu packen und script-gesteuert in die rpmdb zu importieren
> (Fedora's apt verwendet genau ein derartiges Script)

EIn Hinweis auf die Verwendung von gpg --import public-keys.asc ab 
SuSE 9.0 sollte reichen.

> > Anfragen werden noch einige kommen, schätze ich.

Inoffizielle RPMs vom SuSE-Ftp-Server haben teilweise dasselbe 
Problem.

> > BTW, wenn die rpms inzwischen intern signiert werden, brauchen
> > wir die rpm.asc files noch?
>
> Ich denke nein. Offen gesagt, den Sinn der RPM.asc's habe ich nie
> verstanden, da RPM schon seit einer geraumen Weile interne Sigs
> beherrscht (IIRC, war das selbst bei RPM-3.0.x schon der Fall).

Ich denke auch , dass man darauf verzichten kann. Wer RPMs downloaded 
verwendet auch das Programm rpm und kann diesem das Verifizieren 
überlassen.

Herbert




More information about the Packman mailing list