[packman] Das leidige Thema: gpg key für rpm

Ralf Corsepius ralf at links2linux.de
Sat Aug 28 05:56:32 CEST 2004 

On Sat, 2004-08-28 at 00:32, Manfred Tremmel wrote:
> Am Freitag, 27. August 2004 23:56 schrieb Rainer Lay:
> 
> > inzwischen bin ich angeregt durch Richard Bos vom gwdg apt Repository
> > bei den gpg keys weitergekommen.
> 
> Jo, ich auch.
> 
> > Wie es aussieht, hat rpm bei SuSE 9.1 Probleme key.asc files mit mehr
> > als einem Key zu importieren. Wie unserem public-keys.asc. Einzelne
> > keys werden aber ascheinend importiert.
> 
> Möglich, die Probleme mit rpm und den gpg Keys ist ja leider schon 
> länger ein leidiges Thema.
> 
> > Apt ist inzwischen soweit, dass gpg keys automatisch installiert
> > werden, wenn sie im Verz. /usr/lib/rpm/gnupg abgelegt sind. Richard
> > Bos schlägt deshalb vor, rpms zu bauen, die die keys in dem Verz.
> > ablegen. Er hat dazu eine Anleitung unter
> 
> Hm, schlechte Koordination zwischen uns, ich hab ein erstes 
> rpmkey-packman RPM am 25.08. bereitgestellt und war gerade dabei die 
> noch vorhandenen Probleme auszubügeln.
> 
> > http://linux01.gwdg.de/apt4rpm/signing.html#rpmkey gestellt.
> 
> Diente mir auch als vorlage.
> 
> > Zum Erstellen der rpms habe ich ein Script erstellt und abgehängt. Es
> > muss als Root ausgeführt werden, da der Key in rpm eingelesen werden
> > muss. Es braucht 2 Parameter:  das key.asc file und einen Namen für
> > das rpm. Ich schlage als Name vor, packman-$PackmanEmailname zu
> > verwenden. Meinen rpmkey File habe ich mit
> > mk-rpmkey ~rainer/.gnupg/rainer.asc packman-rainer
> > erstellt.
Fedora.US/Fedora.Extras und viele anderen 3rd-Party Packager für Fedora
verwenden eine andere Konvention:

/etc/apt/gpg/gpg-pubkey-8df56d05-3e828977

Bei der Ziffer handelt es sich um die 16-stellige Key-ID im Hex-Format,
wie sie intern von rpm intern verwendet wird, vgl.
# rpm -qa gpg-pubkey

Diese Konvention erlaubt den Vergleich von gpg-pubkeys in der rpmdb
(rpm -qa gpg-pubkey) mit zu importierenden Keys (/etc/apt/gpg/*). 

Das entsprechende Script (/usr/lib/apt/scripts/gpg-import.lua)
ist Bestandteil des apt-Paketes in Fedora Extra und wurden meines
Wissens auch von Richard in sein SuSE-apt-Paket übernommen.

> Du meinst also ein RPM pro Packager?
Ähem, rpm-seitig wird ein gpg-pubkey bereits als rpm behandelt.
Ein GPG-pubkey-Paket pro Packager wäre rpm-seitig also gleichbedeutend
mit 2 rpms pro Key.

Trotzdem hättest Du weiterhin ein Problem diese RPM zu installieren, da
Du, um ein derartiges Key-Paket zu installieren, erst einmal den Key
manuell importieren müsstest.

D.h. um das "Key-Paket" eines Packagers zu installieren müsste man erst
einmal den Key des Packagers importieren, womit der Sinn des Ganzen ad
absurdum geführt wird.

>  Wäre es nicht praktischer ein RPM 
> für alle zu erstellen?
Definitiv.

User müssten dann nur einmal einen GPG-Pubkey manuell importieren (der
mit dem dieses Paket signiert ist). Alle weiteren Keys können dann von
Scripten innerhalb diese Paketes oder von Scripten ausserhalb des
Paketes (z.B. dem Lua-Script in apt) importiert werden. 

Ralf

More information about the Packman mailing list