[packman] rpm 4.1 signature Problem
Herbert Graeber
herbert at links2linux.de
Sat Mar 6 00:30:28 CET 2004
Am Freitag, 5. März 2004 14:21 schrieb Ralf Corsepius:
> [...]
> > b) eine signaturelose Fassung meines Keys erzeugen und diese in
> > rpm importieren.
>
> Genau.
Habe ich ausprobiert. Es hat genügt, meinen Public-Key von kgpg (von
KDE 3.2) aus zu exportieren und per rpm --import zu importieren.
Damit bekomme ich bei meinen RPMs keine Fahler mehr.
> > Womit wir wieder beim nächsten Problem sind. Ab rpm 4.1 scheint
> > rpm per default die Signatures zu prüfen.
>
> Ja.
>
> > D.h. unsere User werden das PRoblem
> > auch bekommen. Wenn sie das bestehende public-keys.asc
> > importieren, bekommen sie daselbe Problem wir ich, da auch dort
> > viele Signaturen drin sind.
Ich habe nun die aktuelle public-keys.asc ebenfalls mit rpm --import
importiert. Nun melden alle Packman-Pakete keine Fehler mehr.
> Aha, ich denke, ich verstehe nun, was Du oben meintest.
>
> Der normale Weg besteht darin sich den Key des Unterzeichners aus
> einer vertrauenswürdigen Quelle in seinen lokalen Keyring zu
> importieren und anschliessend aus dem lokalen Keyring in den
> Keyring von rpm zu importieren:
> gpg --recv-keys $KEYID
> gpg --export --armor $KEYID > gpg-pubkey-$KEYID
> rpm --import gpg-pubkey-$KEYID
>
> Hintergrund: Anders als rpm < 4.1, ignoriert rpm > 4.1 gpg
> vollständig und verlässt sich nur auf seine gpg-pubkeys.
Aber nur beim verifizieren. Zum signieren wird weiterhin gpg oder pgp
benötigt (Quelle: man rpm).
> > Das public-keys file zu bereinigen ist mir zu aufwendig. Dazu
> > muss bei jedem Key für jede uid die Signatures gelöscht werden.
>
> Das public-keys file in gpg zu importieren und anschliessend in rpm
> zu importieren sollte funktionieren.
Tut es. siehe oben.
> > - kgpg kann das
> > leider nicht.
Doch mit einzelnen Keys scheint das zu klappen.
> > Eine Alternative wäre, über das Web Interface neben jedem
> > Packager ein bereinigtes Key File (diese einzelnen Packagers) zu
> > hinterlegen. Bei Bedarf können die User das ziehen und
> > installieren.
>
> Halte ich nicht viel davon (Siehe oben). Theoretisch sollte es
> reichen den Umweg über gpg zu gehen.
> > Richtig doll ist das aber auch nicht.
>
> Eine weitere Alternative wäre, alle Packman gpg-pubkeys in ein RPM
> zu packen und script-gesteuert in die rpmdb zu importieren
> (Fedora's apt verwendet genau ein derartiges Script)
EIn Hinweis auf die Verwendung von gpg --import public-keys.asc ab
SuSE 9.0 sollte reichen.
> > Anfragen werden noch einige kommen, schätze ich.
Inoffizielle RPMs vom SuSE-Ftp-Server haben teilweise dasselbe
Problem.
> > BTW, wenn die rpms inzwischen intern signiert werden, brauchen
> > wir die rpm.asc files noch?
>
> Ich denke nein. Offen gesagt, den Sinn der RPM.asc's habe ich nie
> verstanden, da RPM schon seit einer geraumen Weile interne Sigs
> beherrscht (IIRC, war das selbst bei RPM-3.0.x schon der Fall).
Ich denke auch , dass man darauf verzichten kann. Wer RPMs downloaded
verwendet auch das Programm rpm und kann diesem das Verifizieren
überlassen.
Herbert
More information about the Packman
mailing list