[gelöst] Signierungsschlüssel <KDE:Extra@build.opensuse.org>

[Heinz-Peter]

Hallo,

nach einem zypper up kommt die Ausgabe:

 Metadaten von Repository 'KDE_Suse131' werden abgerufen ----------------------------------------[\]

Neuen Signierungsschlüssel für Repository oder Paket erhalten:
Schlüssel-ID: 20F8C4F40D210A40
Schlüsselname: KDE:Extra OBS Project <KDE:Extra@build.opensuse.org>
Schlüsselfingerabdruck: 1A04160E8C77D8FE43CA364B20F8C4F40D210A40
Schlüssel erstellt: Do 27 Okt 2016 21:38:47 CEST
Schlüssel läuft ab: Sa 05 Jan 2019 20:38:46 CET
Repository: KDE_Suse131

Wollen Sie den Schlüssel (a)bweisen, ihm (t)emporär oder (i)mmer vertrauen? [a/t/i/? zeigt alle Optionen] (a):

Ein zypper lr -uP führt mich zu dem Repo http://download.opensuse.org/repositories/KDE:/Extra/openSUSE_13.1/
Im Ordner repodata/ kann ich die Datei repomd.xml.key herunterladen und mit Kwrite öffnen.
Wie kann ich aber die Schlüssel-ID: 20F8C4F40D210A40 mit der Datei repomd.xml.key vergleichen?

Danke im Voraus für Eure Hilfe
Heinz-Peter

 

[marce]

http://unix.stackexchange.com/questions/132836/where-does-zypper-install-the-repository-or-package-signing-keys

 

[Heinz-Peter]

Hallo,
kann der Schlüssel auch einfach mit zypper importiert werden?
Ich meine bevor ich zypper up ausführe.
Die Adresse zu dem Key ist bekannt. In meinem Fall http://download.opensuse.org/repositories/KDE:/Extra/openSUSE_13.1/repodata/

Edit: Habe diese Seite hier gefunden: https://www.linux-onlineshop.de/forum/index.php?page=Thread&threadID=59
Es steht hier:

openSUSE
Überprüfen Sie die Schlüsseldaten auf Übereinstimmung mit:
Quellcode
1 pub 2048R/45E3D129 2014-06-27 [expires: 2017-06-26]
2 Key fingerprint = 1C47 0960 286B B22D E82A 2FC8 DEE3 B37E 45E3 D129
3 uid TUXEDO Computers GmbH (http://www.tuxedocomputers.com)

Ich komme hier aber nicht weiter.
Kann mir jemand helfen und sagen wie das in meinem Fall funktioniert?

EDIT: Bin mir nicht sicher aber die Antwort habe ich im Netz gefunden: https://www.gnupg.org/gph/de/manual/x193.html#AEN219

 

[Heinz-Peter]

Ich fasse zusammen.
Kommando zypper up meldet:

Metadaten von Repository 'KDE_Suse131' werden abgerufen ----------------------------------------[\]

Neuen Signierungsschlüssel für Repository oder Paket erhalten:
Schlüssel-ID: 20F8C4F40D210A40
Schlüsselname: KDE:Extra OBS Project <KDE:Extra@build.opensuse.org>
Schlüsselfingerabdruck: 1A04160E8C77D8FE43CA364B20F8C4F40D210A40
Schlüssel erstellt: Do 27 Okt 2016 21:38:47 CEST
Schlüssel läuft ab: Sa 05 Jan 2019 20:38:46 CET
Repository: KDE_Suse131

Wollen Sie den Schlüssel (a)bweisen, ihm (t)emporär oder (i)mmer vertrauen? [a/t/i/? zeigt alle Optionen] (a):

Es ist hilfreich das hier zu lesen https://www.gnupg.org/gph/de/manual/x193.html#AEN219

Um den Fingerabdruck zu überprüfen, müssen Sie den Eigentümer des Schlüssels kontaktieren und die Fingerabdrücke vergleichen.

Der Schlüsselfingerabdruck ist auf der Seite zu finden https://btw.any.mx/public-key-fingerprints/

 

[gehrke]

@Heinz-Peter: Danke, dass Du das genauer angesehen und dokumentiert hast.

Schlüssel-ID: 20F8C4F40D210A40
Schlüsselname: KDE:Extra OBS Project <KDE:Extra@build.opensuse.org>
Schlüsselfingerabdruck: 1A04160E8C77D8FE43CA364B20F8C4F40D210A40
Schlüssel erstellt: Do 27 Okt 2016 21:38:47 CEST
Schlüssel läuft ab: Sa 05 Jan 2019 20:38:46 CET
Repository: KDE_Suse131

Der Schlüsselfingerabdruck ist auf der Seite zu finden https://btw.any.mx/public-key-fingerprints/

Ich bin verwundert, dass der Schlüsselvergleich nur mithilfe dieser speziellen Seite möglich sein soll.

Es gibt nur wenige Dinge, die für die Sicherheit eines Linux-Systems so entscheidend sind wie das Software-Management. Dementsprechend hohe Maßstäbe sollten hier angelegt werden - und dazu gehört dann auch die Verifizierung der Schlüssel.

Ich hätte erwartet, dass man den Fingerprint dieses Schlüssels mindestens auf einer offiziellen Seite unterhalb der Domain opensuse.org via https findet. Dann könnte zum großflächigen Einschmuggeln von Schadcode diese Seite zwar immer noch gehackt sein, aber zumindest sollten sicherheitsrelevante Schutzvorkehrungen wie Validierungen bei der SSL-Zertifizierung und Transportwegverschlüsselung hier greifen.

Im vorliegenden Fall ist das nicht so. Stattdessen soll der User hier der Information auf einer vollkommen unbekannten Internetseite Glauben schenken und damit letztlich eine Codebase für sein System absegnen. Ich halte in diesem Fall die Umsetzung des Verfahrens für sehr fragwürdig.

Eine Internet-Recherche nach dem Fingerprint '1A04160E8C77D8FE43CA364B20F8C4F40D210A40' brachte hier aber ebenfalls keine anderen Ergebnisse hervor. Mag sein, dass 13.1 aktuell nicht mehr gewartet wird, aber trotzdem sollte man diese Information IMHO doch wohl mindestens auf einer offiziellen Seite der Distribution finden!?!

 

[gehrke]

Der Schlüsselfingerabdruck ist auf der Seite zu finden https://btw.any.mx/public-key-fingerprints/

Ich bin verwundert, dass der Schlüsselvergleich nur mithilfe dieser speziellen Seite möglich sein soll.

Das ist auch nicht so. Es handelt sich um den öffentlichen PGP-Schlüssel von KDE:Extra@build.opensuse.org

Dieser ist auf die öffentlich verfügbaren PGP-KeyServer hochgeladen, hier greift das Web-Of-Trust. Damit sollte man bei der Verifikation vergleichen, nicht mit irgendeiner ominösen Website. Und wahrscheinlich auch nicht mit der offiziellen Website der Distribution.

$ gpg --fingerprint KDE:Extra@build.opensuse.org
pub   2048R/0D210A40 2016-10-27 [verfällt: 2019-01-05]
  Schl.-Fingerabdruck = 1A04 160E 8C77 D8FE 43CA  364B 20F8 C4F4 0D21 0A40
uid                  KDE:Extra OBS Project <KDE:Extra@build.opensuse.org>

 

[Heinz-Peter]

Das ist auch nicht so. Es handelt sich um den öffentlichen PGP-Schlüssel von KDE:Extra@build.opensuse.org

DANKE für die Lösung.