UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3081
Wohnort: Köln
|
kB schrieb: ... Es fehlt die unverzichtbare Validierung des Schlüssels als Voraussetzung der Vertrauensstellung, welche man ja dem (möglicherweise angeblichem?) Eigentümer einräumt.
Ich denke das ist ein guter Hinweis. Kennt sich jemand aus damit und kann das gut formulieren?
Außerdem: root braucht kein gpg und gpg braucht keine Rootrechte zur Formatumwandlung des Schlüssels,
Richtig. Dann braucht es aber mehrere Befehle und Zwischenkopien, um die Schlüsseldatei an die richtige Stelle und mit den richtigen Rechten zu kriegen.
Nutzt man gpg direkt als root, geht das eben ohne Zwischenkopien, Pipes und elegant mit einem Einzeiler.
diese selbst ist auch eigentlich unnötig.
Ja das stimmt, hatte ich hier ja schon angemerkt. Ich kann mich aber erinnern, dass es eine Begründung dafür gibt, dass ASCII-verpackte gegenüber binären Schlüsseln leichter kompromittier- oder angreifbarer sind. Könnte in dem langen Debian-Artikel gewesen sein. Auf jeden Fall brauchen Binär-Schlüssel weniger Platz und weniger CPU zur Verarbeitung.
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3081
Wohnort: Köln
|
karzer schrieb: Oder einfach sudo -H gpg --no-default-keyring --import A6616109451BBBF2 --keyring /etc/apt/keyrings/<file>.gpg Das hier?
Hast Du ausprobiert, ob das funzt? Woher weiß gpg ohne Angabe des Servers, von wo die Schlüsseldatei herunterzuladen ist?
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3081
Wohnort: Köln
|
karzer schrieb: Oder einfach ...
... wie ich es mir dachte, eben nicht: sudo -H gpg --no-default-keyring --import A6616109451BBBF2 --keyring /etc/apt/keyrings/linux-mint-archive.gpg
gpg: Die "Keybox" `/etc/apt/keyrings/linux-mint-archive.gpg' wurde erstellt
gpg: 'A6616109451BBBF2' kann nicht geöffnet werden: Datei oder Verzeichnis nicht gefunden
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 0
|
karzer
Wikiteam
Anmeldungsdatum: 10. April 2022
Beiträge: 1425
Wohnort: Bad Oeynhausen
|
UlfZibis schrieb: [...]
Hast Du ausprobiert, ob das funzt? Woher weiß gpg ohne Angabe des Servers, von wo die Schlüsseldatei herunterzuladen ist?
Ich ging davon aus, dass der Schlüssel schon heruntergeladen war. Ob das dann, nichtimportiert geht, ist eine andere Frage. Höchstens A6616109451BBBF2.asc könnte man importieren.
|
karzer
Wikiteam
Anmeldungsdatum: 10. April 2022
Beiträge: 1425
Wohnort: Bad Oeynhausen
|
Warum wird bei Schlüssel hinzufügen erst von /etc/apt/keyrings und zuletzt von /usr/share/keyrings
als Verzeichnis gesprochen?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Liebes Wikiteam, bitte verschiebt mir den Artikel apt/Schlüsselverwaltung in eine Baustelle, Ich werde den Abschnitt „Schlüssel hinzufügen“ komplett überarbeiten und einige allgemeine Erklärungen zum Umgang von APT mit Signaturschlüsseln hinzufügen. Und ich empfehle Euch, den gesamten Themenkomplex mit Ruhe anzugehen und nicht künstlich hoch zu kochen. Die (lange angekündigten) sog. „Änderungen“ in der APT-Schlüsselverwaltung betreffen Ubuntu-Nutzer gar nicht spürbar, weil das von Seiten der Distribution erledigt wird, sondern lediglich solche Nutzer, welche unbedingt Fremdquellen benutzen möchten. Wovor mit guten Gründen im Wiki immer gewarnt wird! Man sollte eine schlechte Idee (Fremdquelle benutzen) im Wiki nicht auch noch dadurch fördern, indem man eine leicht anzuwendende, aber eben sicherheitstechnisch bedenkliche Methode veröffentlicht.
|
karzer
Wikiteam
Anmeldungsdatum: 10. April 2022
Beiträge: 1425
Wohnort: Bad Oeynhausen
|
Ich habe ihn nun verschoben. Bin gespannt, was Du daraus machst!
|
karzer
Wikiteam
Anmeldungsdatum: 10. April 2022
Beiträge: 1425
Wohnort: Bad Oeynhausen
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
karzer schrieb: Du könntest noch das hier als Quelle nutzen: https://wiki.debian.org/DebianRepository/UseThirdParty
Danke. War mir aber schon bekannt.
|
DJKUhpisse
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 18017
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Seit 2 Wochen ist nichts passiert, Fertigstellungsdatum ist heute.
Sind weitere Änderungen geplant? Mir fehlt hier eine Schritt-für-Schritt Vorgehensweise zum Hinzufügen der Schlüssel, sodass man den Artikel als Anleitung verlinken kann.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
DJKUhpisse schrieb: Seit 2 Wochen ist nichts passiert, Fertigstellungsdatum ist heute.
Was soll denn diese ungesunde Ungeduld?
Sind weitere Änderungen geplant?
Es wird fertig werden. Und nicht jede neue Erkenntnis findet auch sofort ihren Weg in die Baustelle.
|
DJKUhpisse
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 18017
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
kB schrieb: DJKUhpisse schrieb: Seit 2 Wochen ist nichts passiert, Fertigstellungsdatum ist heute.
Was soll denn diese ungesunde Ungeduld?
Sind weitere Änderungen geplant?
Es wird fertig werden. Und nicht jede neue Erkenntnis findet auch sofort ihren Weg in die Baustelle.
Die Ungeduld habe ich halt und da ich aktuell in den Baustellen etwas aufräume, wollte ich nachfragen, wie der Stand der Dinge ist. Bitte sehe das nicht als Angriff.
|
karzer
Wikiteam
Anmeldungsdatum: 10. April 2022
Beiträge: 1425
Wohnort: Bad Oeynhausen
|
DJKUhpisse schrieb: Die Ungeduld habe ich halt und da ich aktuell in den Baustellen etwas aufräume [...]
Dann halt' Dich an die Baustellen, auf denen zuletzt vor 1 Jahr(en)+ etwas passiert ist. Gibt genug 😉.
|
DJKUhpisse
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 18017
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29455
Wohnort: WW
|
Hallo, also jedenfalls
Der Ordner /etc/apt/keyrings/ ist der einzig vernünftige Ort zu Ablage von Schlüsseln von Fremdquellen und nur dieser wird daher in diesem Artikel weiter betrachtet.
deb [signed-by=/etc/apt/keyrings/schluessel.gpg] http://example.org/linux/deb/ stable main
funktioniert das einwandfrei. Habe ich neulich für eine Fremdquelle unter 22.04 so gemacht. Gruß, noisefloor
|