Re: Gpg-Key für debian-unofficial.org etch

To: debian-user-german@lists.debian.org
Subject: Re: Gpg-Key für debian-unofficial.org etch
From: Siegfrid Brandstätter <garafrut@web.de>
Date: Sun, 7 Jun 2009 01:30:57 +0100
Message-id: <[🔎] 200906070130.57499.garafrut@web.de>
In-reply-to: <[🔎] 20090606085650.GI19607@wasteland.homelinux.net>
References: <[🔎] 200906042247.46728.garafrut@web.de> <[🔎] 200906052155.46382.garafrut@web.de> <[🔎] 20090606085650.GI19607@wasteland.homelinux.net>

Hallo Jochen,
Am Samstag, 6. Juni 2009 09:56 schrieb Jochen Schulz:
> Siegfrid Brandstätter:
> > Am Freitag, 5. Juni 2009 schrieb Jochen Schulz:
> >> Siegfrid Brandstätter:
> >>> etch2:/home/sigi# gpg --export --armour $id | apt-key add -
> >>> OK
> >>
> >> Nur zur Sicherheit: Du hast statt "$id" eine passende Key-ID
> >> genommen oder als Variable gesetzt, oder?
> >
> > Nein, leider so wie es gestanden ist ;-(
>
> Erstmal: tut mir leid, ich hätte das vielleicht dazuschreiben sollen.
> Das Verhalten von 'gpg --export' bei fehlender Key-ID war mir beim
> Schreiben aber selbst nicht bewusst.
>

Nichts passiert, war ja auch bestimmt keine Absicht.

Danke auch für die gute Erklärung.

> Dann mal grundlegend: mit dem Importieren eines Schlüssels in den
> Keyring von apt drückst Du apt gegenüber Dein Vertrauen in den
> Schlüsselinhaber aus, dass dieser Dein System bestimmt nicht
> kaputtmachen oder für böse Zwecke missbrauchen kann. Das kann er
> nämlich, sobald Du Pakete von ihm installierst. Jeder Inhaber eines
> Schlüssels im apt-Keyring hat praktisch root-Zugriff auf Deine Kiste.
>
> Und genau dafür, dass Du selbst bestimmen kannst, von wem Du Pakete
> installieren willst und von wem nicht, dafür gibt es das ganze
> Schlüsselgeraffel in apt. Die apt-Frontends warnen Dich extra, wenn
> Du mit einem unbekannten Schlüssel signierte Pakete installieren
> willst. Da das ganze kryptographisch gesichert ist, kann auch nicht
> einfach irgendwer in den von Dir benutzten Debian-Mirror einbrechen
> und Dir unbemerkt Pakete unterschieben.
>
> Du solltest jetzt also überprüfen, welche Schlüssel Du importiert
> hast und ob das eine gute Idee war. Das kannst Du mit 'apt-key list'
> überprüfen und ggf. mit 'apt-key del' lösen.
>

Da ist nichts zusätzliches Installiert worden, alles wie früher.


> Wenn Du den Keyring von root nie für etwas anderes benutzt, als die
> apt-Keys zu aktualisieren, ist wahrscheinlich auch gar nichts
> passiert.
>

Genau, es ist nichts.
Aber mein update Problem habe ich auch noch immer ;-)


-- 
 
Einen Schönen Gruß,

Sigi

Reply to:

Follow-Ups:
- Re: Gpg-Key für debian-unofficial.org etch
  - From: Martin Steigerwald <Martin@lichtvoll.de>

References:
- Gpg-Key für debian-unofficial.org etch
  - From: Siegfrid Brandstätter <garafrut@web.de>
- Re: Gpg-Key für debian-unofficial.org etch
  - From: Siegfrid Brandstätter <garafrut@web.de>
- Re: Gpg-Key für debian-unofficial.org etch
  - From: Jochen Schulz <ml@well-adjusted.de>

Prev by Date: Re: Processor läuft heiß
Next by Date: Re: (Blöde) Frage zu xfce4
Previous by thread: Re: Gpg-Key für debian-unofficial.org etch
Next by thread: Re: Gpg-Key für debian-unofficial.org etch
Index(es):
- Date
- Thread