bemerkung zu den gpg keys für apt

[michaa7]

also das mit den gpg schlüsseln ist ja an sich ne gute sache, nur so wie das läuft trägt das ja wohl mehr zur scheinsicherheit als zum durchblick bei. In jedem forum werden irgendwelche "schlüssel" gepostet, dei man sich besorgen sollte. Was mich nur wundert ist, dass ich nun im mehreren foren und mailinglist gelesen habe und überall völlig verschiedene "schlüssel" gepostet werden. Anderererseits gibt es anscheinend kein "offizielle" seite, auf die verwiesen werden könnte mit EINEM ÖFFENTLICHEN schlüssel.


Ich kann das mit den verschieden schlüsseln absolut nicht verstehn, das kann doch irgendwie nicht sein...zumindest aber macht es keinen sinn...da kann ich das doch gleich sein lassen und die fehlermeldung beim installieren einfach übergehn.

[Hackmeck]

Stimmt, die Sache mit den Schlüsseln ist noch lange nicht ausgereift und der Wechsel des Schlüssels zum Jahreswechsel wurde irgendwie auch nicht so recht kommuniziert, habe ich zumindest das Gefühl. Aber das alles ist ja auch noch "testing" - wer stable/sarge benutzt, hat diese Probleme ja nicht und bis etch stable ist (laut http://de.wikipedia.org/wiki/Debian_GNU/Linux übrigens Ende 2006!) wird das sicher ausgereifter sein.

[GoKi]

Joey Hess hat auch festgestellt, dass es viel Verwirung gab, daher hat er folgenden wiki-Artikel erstellt.
http://wiki.debian.org/SecureApt

Auf der ftp-master Seite wird ein Schlüssel angeboten, leider wohl nicht gerade sehr publik gemacht.

[HotblackDesiato]

Das Ganze funktioniert bei mir leider nicht:

Code: Alles auswählen

stefan:/home/stefan# gpg --keyserver pgpkeys.mit.edu --recv-key 2D230C5F
gpg: requesting key 2D230C5F from hkp server pgpkeys.mit.edu
gpg: keyserver timed out
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Schlüsselserverfehler

Klappt das bei euch ?

Stefan

[KBDCALLS]

Ging bei mir ohne Probleme ebend.

Code: Alles auswählen

matthias@biljana:~$ gpg --keyserver pgpkeys.mit.edu --recv-key 2D230C5F
gpg: requesting key 2D230C5F from hkp server pgpkeys.mit.edu
gpg: key 2D230C5F: public key "Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>" imported
gpg: public key of ultimately trusted key 6C69FF2F not found
gpg: 3 marignal-needed, 1 complete-needed, classic Trust-Modell
gpg: depth: 0  valid:   9  signed:   2  trust: 0-, 0q, 0n, 0m, 0f, 9u
gpg: depth: 1  valid:   2  signed:   0  trust: 2-, 0q, 0n, 0m, 0f, 0u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2006-02-03
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                              importiert: 1

Könntest auch den mal versuchen.

Code: Alles auswählen

gpg --keyserver pgpkeys.pca.dfn.de  --recv-keys  2D230C5F

[gms]

Das Ganze funktioniert bei mir leider nicht:

Code: Alles auswählen

stefan:/home/stefan# gpg --keyserver pgpkeys.mit.edu --recv-key 2D230C5F
gpg: requesting key 2D230C5F from hkp server pgpkeys.mit.edu
gpg: keyserver timed out
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Schlüsselserverfehler

Hast du vielleicht eine Firewall dazwischen die den TCP Port 11371 sperrt ?

Gruß
gms

[HotblackDesiato]

Danke, mit dem anderen key server hat's funktioniert. Ich habe dann noch gem. Anleitung

Code: Alles auswählen

stefan2:/home/stefan# gpg -a --export 2D230C5F | apt-key add -
gpg: kein uneingeschränkt vertrauenswürdiger Schlüssel 080F67F4 gefunden
OK

durchgeführt - die Fehlermeldung ist lt. Wiki ja in Ordnung.

Stefan

PS: Keine Firewall...

[I.C.Wiener]

Ich weiß nicht, ob die Frage schon einmal beantwortet wurde, aber wie finde ich denn zu einem bestimmten Server den Schlüssel?

Also ich verwende http://ftp2.de.debian.org und aptitude fragt jedes Mal nach, erzählt aber nichts über den Schlüssel.
Gibt es da eine Möglichkeit, den Schüssel zu bekommen ohne apt-get zu fragen?

MfG

[KBDCALLS]

Na klar bemompert er die die Schlüssel,

Code: Alles auswählen

Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut... Fertig
Lese erweiterte Statusinformationen
Initialisiere Paketstatus... Fertig
Lese Task-Beschreibungen... Fertig
Building tag database... Fertig
Lösche veraltete heruntergeladene Dateien
W: GPG error: ftp://ftp.nerim.net sid Release: The following signatures were invalid: BADSIG 07DC563D1F41B907 Christian Marillat <marillat@debian.org>
W: GPG error: ftp://ftp2.de.debian.org sid Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: GPG error: ftp://ftp2.de.debian.org experimental Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: Sie möchten vielleicht »apt-get update« aufrufen, um diese Probleme zu lösen
W: Sie wollen vielleicht die Paketlisten aktualisieren um die fehlenden Dateien zu ergänzen
root@biljana:/home/matthias#         

[I.C.Wiener]

Bei mir kommt bei einem aptitude dist-upgrade in sid nur folgendes

Code: Alles auswählen

WARNING: untrusted versions of the following packages will be installed!

Untrusted packages could compromise your system's security.
You should only proceed with the installation if you are certain that
this is what you want to do.

Und dann eine Ja/Nein-Abfrage.

[HotblackDesiato]

Bei mir kommt bei einem aptitude dist-upgrade in sid..

Mach mal "apt-get upgrade", dann erhältst du die Meldung, die KBDCALLS gepostet hat...

Stefan

[I.C.Wiener]

Nach "apt-get upgrade"

Code: Alles auswählen

WARNUNG: Die folgenden Pakete können nicht authentifiziert werden!

Mehr zu dem Thema war nicht in den Meldungen.

[Tekilla]

Die Meldung kommt auch nur bei

Code: Alles auswählen

apt-get update

, nicht bei upgrade.

[I.C.Wiener]

Ok, danke. Nun bekomme ich

Code: Alles auswählen

W: GPG error: ftp://ftp.nerim.net sid Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 07DC563D1F41B907

Und was tut man dann damit?
Die ID, die weiter oben benutzt wird, ist immer nur halb so lang.
Die ID, die bei mir angezeigt wird, gibt auch mit --search-key kein Ergebnis.

Das ist mir alles noch zu eigenartig. Was ist, wenn ich jetzt schon auf einen gefaketen Server zugreife. Dann importiere ich auch den falschen Schlüssel.
Liegt nicht auf den FTP-Servern vielleicht eins Kopie des Schlüssels? Dann könnte man zumindest vergleichen.
So ist das für mich kein Schutz. Aber mal warten, bis das reift.

MfG

[gms]

Die ID, die weiter oben benutzt wird, ist immer nur halb so lang.

liegt daran, daß die letzten 8 Stellen die (32 bit) Key-ID ist, daher liefern folgende Statements den gleichen Key:

Code: Alles auswählen

gms@gms1:~$ gpg  --keyserver pgpkeys.mit.edu --recv-key 07DC563D1F41B907
gms@gms1:~$ gpg  --keyserver pgpkeys.mit.edu --recv-key 1F41B907

Die ID, die bei mir angezeigt wird, gibt auch mit --search-key kein Ergebnis.

Mit "recv-key" suchst du nach einer Key-ID mit "search-key" nach dem Namen. Daher kann das so auch kein gewünschtes Ergebnis bringen. (siehe "man gpg")

Code: Alles auswählen

Was ist, wenn ich jetzt schon auf einen gefaketen Server zugreife. Dann importiere ich auch den falschen Schlüssel. 
So ist das für mich kein Schutz.

Apt kann verhindern, daß Pakete von Quellen importiert werden, denen du nicht vertraust. Es kann das System sicher nicht vor Dir schützen.

Gruß
gms

[KBDCALLS]

Dann besorgt man sich die Schlüssell und fügt sie hinzu.

Code: Alles auswählen

root@biljana:~# gpg --keyserver pgpkeys.pca.dfn.de  --recv-keys  2D230C5F
gpg: requesting key 2D230C5F from hkp server pgpkeys.pca.dfn.de
gpg: key 2D230C5F: public key "Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>" imported
gpg: public key of ultimately trusted key A9643EF4 not found
gpg: 3 marginal(s) needed, 1 complete(s) needed, classic trust model
gpg: depth: 0  valid:   3  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 3u
gpg: Total number processed: 1
gpg:               imported: 1


root@biljana:~# gpg -a --export 2D230C5F | apt-key add -
gpg: no ultimately trusted keys found
OK
root@biljana:~#   

Die Ausgabe von

Code: Alles auswählen

apt-key list

http://nopaste.debianforum.de/2095

PS: die letzen 8 Hex Ziffern des Keys reichen um ihn zu finden.

_________________________________________________________________________________________________________

[I.C.Wiener]

Apt kann verhindern, daß Pakete von Quellen importiert werden, denen du nicht vertraust. Es kann das System sicher nicht vor Dir schützen.

Solange es keinen Kontrollmechanismus gibt, führt hier der Blinde den Blinden.
Egal wie vorsichtig ich bin. Der "richtige" Schlüssel wird mir angezeigt und dieser Anzeige muss ich im Moment einfach vertrauen.
Läge der Schlüssel zusätzlich auf den FTP-Servern, könnte man zumindest eine zweite Meinung einholen (z.B. den Browser).
Zwei Instanzen, die den gleichen Schlüssel angeben sind vertrauenswürdiger als nur eine Instanz.
Und den Schlüssel dann vom Schlüsselserver u ziehen ist auch nicht vertrauenswürdig.
Auch der böse Mann kann einen Schlüssel mit dem Titel "Ich bin wirklich Debian" erzeugen.

Oder blicke ich da grad nicht ganz durch?

MfG

/edit: Aber wenigstens hab ich jetzt mal endlich den grundlegenden Mechanismus verstanden. Danke. Endlich werden diese Meldungen weniger.

[KBDCALLS]

Den Namen kann er schon vergeben, aber der Schlüssel hat garantiert nicht die gleiche ID und Fingerprint.

Code: Alles auswählen

pub   1024D/2D230C5F 2006-01-03 [expires: 2007-02-07]
  Schl.-Fingerabdruck = 0847 50FC 01A6 D388 A643  D869 0109 0831 2D23 0C5F
uid                  Debian Archive Automatic Signing Key (2006) 
<ftpmaster@debian.org>

http://nopaste.debianforum.de/2105

[GoKi]

Man kann z.B. auch mal die Liste derer anschauen, die den 2006 KEY signiert haben. Dort sollte dann auch der 2005er Key auftauchen. Und da man dem ja das letzte Jahr über vertraut hat, ist das eine gute Grundlage auch dem 2006er Key zu vertrauen.

Ich nehme aber mal stark an, dass sich an dem Verfahren wie die Keys verteilt werden noch etwas ändern wird. Man sollte immer bedenken, dass das ganze bisher testing und unstable betrifft.

[KBDCALLS]

Es gibt ja auch noch Debian-keyring als Paket. Aber wie ich versucht habe den zu importieren hats leider nicht geklappt. Es wurde immer behauptet er sei nicht installiert.

[I.C.Wiener]

Ja, stimmt. Die Signierer vergleichen ist ein Weg.
Ich denke auch, dass sich da noch einige Leute Gedanken machen, das noch zu vereinfachen.