Re: Welche Keys braucht es zur Signatur eines Archives

To: debian-user-german@lists.debian.org
Subject: Re: Welche Keys braucht es zur Signatur eines Archives
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Tue, 09 Jul 2019 23:35:29 +0200
Message-id: <[🔎] E1hkxlp-0004Vp-Qw@drop.zugschlus.de>
In-reply-to: <[🔎] 87r26z9e25.fsf@43-1.org>
References: <[🔎] E1hkujL-0003Dz-VE@drop.zugschlus.de> <[🔎] 87r26z9e25.fsf@43-1.org>

On Tue, 09 Jul 2019 21:57:06 +0200, Ansgar Burchardt <ansgar@43-1.org>
wrote:
>Marc Haber writes:
>> seit dem 6. Juni mag mein mini-buildd das stretch-Archiv nicht mehr.
>> Ich habe mir daraufhin die Signaturen auf den Release-Files angeschaut
>> und habe ein paar fragen.
>>
>> Der mini-buildd lädt herunter:
>> |http://debian.mirror.example/debian//dists/stretch/Release
>> |http://debian.mirror.example/debian//dists/stretch/Release.gpg
>>
>> Wenn ich auf die beiden Dateien manuell mit gpgv drauf schaue:
>> |2 [17/5077]mh@spinturn:~/tmp $ gpgv Release.gpg Release
>> |gpgv: Signature made Sa 06 Jul 2019 11:11:39 CEST
>> |gpgv:                using RSA key 126C0D24BD8A2942CC7DF8AC7638D0442B90D010
>> |gpgv: Can't check signature: No public key
>> |gpgv: Signature made Sa 06 Jul 2019 11:11:39 CEST
>> |gpgv:                using RSA key 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
>> |gpgv: Can't check signature: No public key
>> |gpgv: Signature made Sa 06 Jul 2019 11:36:52 CEST
>> |gpgv:                using RSA key 067E3C456BAE240ACEE88F6FEF0F382A1A7B6500
>> |gpgv: Can't check signature: No public key
>> |2 [18/5078]mh@spinturn:~/tmp $ 
>>
>> Die Keys mit der 126C0D24BD8A2942CC7DF8AC7638D0442B90D010 und
>> 067E3C456BAE240ACEE88F6FEF0F382A1A7B6500 sind "alt", die kennt mein
>> mini-buildd schon. Nur der Key
>> 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC ist noch nicht bekannt. Auch
>> im Paket debian-archive-keyring ist dieser Key nicht enthalten.
>
>Das ist der hier:
>
>+---
>| % gpg --no-default-keyring --keyring /usr/share/keyrings/debian-archive-keyring.gpg --list-keys 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
>| pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
>|       E1CF20DDFFE4B89E802658F1E0B11894F66AEC98
>| uid           [  full  ] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
>| sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]
>|       16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
>+---
>
>Neu ist der aber nicht und sollte schon lange im debian-archive-keyring
>sein.

Bestätigt. Ich hatte in /etc/apt/trusted.keys.d gesucht, und da ist er
nicht.

>> Ist es nicht so, dass eine richtige Signatur auf dem Release-File
>> ausreichend ist? Müssen alle drei verifiziert werden, damit das
>> Release-File wirklich ernsthaft richtig ist?
>
>Eine Signature sollte reichen.  APT ist damit auch glücklich (gibt aber
>eine Warnung für zusätzliche Signaturen von unbekannten Schlüssel aus,
>die Leute verwirrt).

Dann ist das wohl ein Issue von mini-buildd.

Danke Dir!

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Follow-Ups:
- Re: Welche Keys braucht es zur Signatur eines Archives
  - From: Christian Knoke <chrisk@cknoke.de>

References:
- Welche Keys braucht es zur Signatur eines Archives
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: Welche Keys braucht es zur Signatur eines Archives
  - From: Ansgar Burchardt <ansgar@43-1.org>

Prev by Date: Re: Welche Keys braucht es zur Signatur eines Archives
Next by Date: Re: Probleme mit dovecot-imapd 1:2.2.13-12~deb8u6 unter jessie
Previous by thread: Re: Welche Keys braucht es zur Signatur eines Archives
Next by thread: Re: Welche Keys braucht es zur Signatur eines Archives
Index(es):
- Date
- Thread