Re: Welche Keys braucht es zur Signatur eines Archives
On Tue, 09 Jul 2019 21:57:06 +0200, Ansgar Burchardt <ansgar@43-1.org>
wrote:
>Marc Haber writes:
>> seit dem 6. Juni mag mein mini-buildd das stretch-Archiv nicht mehr.
>> Ich habe mir daraufhin die Signaturen auf den Release-Files angeschaut
>> und habe ein paar fragen.
>>
>> Der mini-buildd lädt herunter:
>> |http://debian.mirror.example/debian//dists/stretch/Release
>> |http://debian.mirror.example/debian//dists/stretch/Release.gpg
>>
>> Wenn ich auf die beiden Dateien manuell mit gpgv drauf schaue:
>> |2 [17/5077]mh@spinturn:~/tmp $ gpgv Release.gpg Release
>> |gpgv: Signature made Sa 06 Jul 2019 11:11:39 CEST
>> |gpgv: using RSA key 126C0D24BD8A2942CC7DF8AC7638D0442B90D010
>> |gpgv: Can't check signature: No public key
>> |gpgv: Signature made Sa 06 Jul 2019 11:11:39 CEST
>> |gpgv: using RSA key 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
>> |gpgv: Can't check signature: No public key
>> |gpgv: Signature made Sa 06 Jul 2019 11:36:52 CEST
>> |gpgv: using RSA key 067E3C456BAE240ACEE88F6FEF0F382A1A7B6500
>> |gpgv: Can't check signature: No public key
>> |2 [18/5078]mh@spinturn:~/tmp $
>>
>> Die Keys mit der 126C0D24BD8A2942CC7DF8AC7638D0442B90D010 und
>> 067E3C456BAE240ACEE88F6FEF0F382A1A7B6500 sind "alt", die kennt mein
>> mini-buildd schon. Nur der Key
>> 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC ist noch nicht bekannt. Auch
>> im Paket debian-archive-keyring ist dieser Key nicht enthalten.
>
>Das ist der hier:
>
>+---
>| % gpg --no-default-keyring --keyring /usr/share/keyrings/debian-archive-keyring.gpg --list-keys 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
>| pub rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
>| E1CF20DDFFE4B89E802658F1E0B11894F66AEC98
>| uid [ full ] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
>| sub rsa4096 2017-05-22 [S] [expires: 2025-05-20]
>| 16E90B3FDF65EDE3AA7F323C04EE7237B7D453EC
>+---
>
>Neu ist der aber nicht und sollte schon lange im debian-archive-keyring
>sein.
Bestätigt. Ich hatte in /etc/apt/trusted.keys.d gesucht, und da ist er
nicht.
>> Ist es nicht so, dass eine richtige Signatur auf dem Release-File
>> ausreichend ist? Müssen alle drei verifiziert werden, damit das
>> Release-File wirklich ernsthaft richtig ist?
>
>Eine Signature sollte reichen. APT ist damit auch glücklich (gibt aber
>eine Warnung für zusätzliche Signaturen von unbekannten Schlüssel aus,
>die Leute verwirrt).
Dann ist das wohl ein Issue von mini-buildd.
Danke Dir!
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: