Re: Welche Keys braucht es zur Signatur eines Archives

To: debian-user-german@lists.debian.org
Subject: Re: Welche Keys braucht es zur Signatur eines Archives
From: Ansgar Burchardt <ansgar@43-1.org>
Date: Tue, 09 Jul 2019 21:57:06 +0200
Message-id: <[🔎] 87r26z9e25.fsf@43-1.org>
In-reply-to: <[🔎] E1hkujL-0003Dz-VE@drop.zugschlus.de> (Marc Haber's message of "Tue, 09 Jul 2019 20:20:43 +0200")
References: <[🔎] E1hkujL-0003Dz-VE@drop.zugschlus.de>

Marc Haber writes:
> seit dem 6. Juni mag mein mini-buildd das stretch-Archiv nicht mehr.
> Ich habe mir daraufhin die Signaturen auf den Release-Files angeschaut
> und habe ein paar fragen.
>
> Der mini-buildd lädt herunter:
> |http://debian.mirror.example/debian//dists/stretch/Release
> |http://debian.mirror.example/debian//dists/stretch/Release.gpg
>
> Wenn ich auf die beiden Dateien manuell mit gpgv drauf schaue:
> |2 [17/5077]mh@spinturn:~/tmp $ gpgv Release.gpg Release
> |gpgv: Signature made Sa 06 Jul 2019 11:11:39 CEST
> |gpgv:                using RSA key 126C0D24BD8A2942CC7DF8AC7638D0442B90D010
> |gpgv: Can't check signature: No public key
> |gpgv: Signature made Sa 06 Jul 2019 11:11:39 CEST
> |gpgv:                using RSA key 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
> |gpgv: Can't check signature: No public key
> |gpgv: Signature made Sa 06 Jul 2019 11:36:52 CEST
> |gpgv:                using RSA key 067E3C456BAE240ACEE88F6FEF0F382A1A7B6500
> |gpgv: Can't check signature: No public key
> |2 [18/5078]mh@spinturn:~/tmp $ 
>
> Die Keys mit der 126C0D24BD8A2942CC7DF8AC7638D0442B90D010 und
> 067E3C456BAE240ACEE88F6FEF0F382A1A7B6500 sind "alt", die kennt mein
> mini-buildd schon. Nur der Key
> 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC ist noch nicht bekannt. Auch
> im Paket debian-archive-keyring ist dieser Key nicht enthalten.

Das ist der hier:

+---
| % gpg --no-default-keyring --keyring /usr/share/keyrings/debian-archive-keyring.gpg --list-keys 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
| pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
|       E1CF20DDFFE4B89E802658F1E0B11894F66AEC98
| uid           [  full  ] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
| sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]
|       16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
+---

Neu ist der aber nicht und sollte schon lange im debian-archive-keyring
sein.

> Ist es nicht so, dass eine richtige Signatur auf dem Release-File
> ausreichend ist? Müssen alle drei verifiziert werden, damit das
> Release-File wirklich ernsthaft richtig ist?

Eine Signature sollte reichen.  APT ist damit auch glücklich (gibt aber
eine Warnung für zusätzliche Signaturen von unbekannten Schlüssel aus,
die Leute verwirrt).

> Und wo bekomme ich den Key 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
> her, wenn er noch nicht im debian-archive-keyring ist? Auf den
> sks-Keyservern mag ich aus bekannten Gründen
> (https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f)
> nicht nachschauen...

https://ftp-master.debian.org/keys.html; aber der Schlüssel sollte seit
2017.5 in debian-archive-keyring sein.

Ansgar

Reply to:

Follow-Ups:
- Re: Welche Keys braucht es zur Signatur eines Archives
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

References:
- Welche Keys braucht es zur Signatur eines Archives
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Welche Keys braucht es zur Signatur eines Archives
Next by Date: Re: Welche Keys braucht es zur Signatur eines Archives
Previous by thread: Welche Keys braucht es zur Signatur eines Archives
Next by thread: Re: Welche Keys braucht es zur Signatur eines Archives
Index(es):
- Date
- Thread