Hallo Zusammen:
gestern gab es diese Meldung Bei Heise Security. Darin heißt es:
Der Angriff knackt also keineswegs die GnuPG-Verschlüsselung; er demonstriert vielmehr, dass es sehr einfach sein kann, einem nachlässigen GnuPG-Anwender falsche Schlüssel unterzuschieben. Es genügt nämlich keineswegs, die ID zu checken und vielleicht noch einen Blick auf die Unterschriften eines Keys zu werfen.
Was heißt das für gpg-signierte Paketquellen (z.B. Oracle, Spotify)? Da ist es schwierig persönlich die Fingerprints auszutauschen wie bei E-Mail-Kontakten. Das wa bisher auch nicht nötig, da man ja für sowas ja den Server kompromittieren müsste. Wie seht Ihr das?