Siegfrid Brandstätter:
> Am Freitag, 5. Juni 2009 schrieb Jochen Schulz:
>> Siegfrid Brandstätter:
>>>
>>> etch2:/home/sigi# gpg --export --armour $id | apt-key add -
>>> OK
>>
>> Nur zur Sicherheit: Du hast statt "$id" eine passende Key-ID genommen
>> oder als Variable gesetzt, oder?
>
> Nein, leider so wie es gestanden ist ;-(
Erstmal: tut mir leid, ich hätte das vielleicht dazuschreiben sollen.
Das Verhalten von 'gpg --export' bei fehlender Key-ID war mir beim
Schreiben aber selbst nicht bewusst.
Dann mal grundlegend: mit dem Importieren eines Schlüssels in den
Keyring von apt drückst Du apt gegenüber Dein Vertrauen in den
Schlüsselinhaber aus, dass dieser Dein System bestimmt nicht
kaputtmachen oder für böse Zwecke missbrauchen kann. Das kann er
nämlich, sobald Du Pakete von ihm installierst. Jeder Inhaber eines
Schlüssels im apt-Keyring hat praktisch root-Zugriff auf Deine Kiste.
Und genau dafür, dass Du selbst bestimmen kannst, von wem Du Pakete
installieren willst und von wem nicht, dafür gibt es das ganze
Schlüsselgeraffel in apt. Die apt-Frontends warnen Dich extra, wenn Du
mit einem unbekannten Schlüssel signierte Pakete installieren willst. Da
das ganze kryptographisch gesichert ist, kann auch nicht einfach
irgendwer in den von Dir benutzten Debian-Mirror einbrechen und Dir
unbemerkt Pakete unterschieben.
Du solltest jetzt also überprüfen, welche Schlüssel Du importiert hast
und ob das eine gute Idee war. Das kannst Du mit 'apt-key list'
überprüfen und ggf. mit 'apt-key del' lösen.
Wenn Du den Keyring von root nie für etwas anderes benutzt, als die
apt-Keys zu aktualisieren, ist wahrscheinlich auch gar nichts passiert.
J.
--
In idle moments I remember former lovers with sentimental tenderness.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature