Hallo zusammen,
im Zuge der Darstellung einer Schwachstelle bei den Synchronizing
Key Server (SKS) Server von GnuPG (siehe u.a. [0]) merkte Hanno Böck
an, dass über "poisoned pgp key" unter Verwendung des nachstehenden
Kommandos bei Debian/Ubuntu, diese u.U unbrauchbar werden können
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com [keyid]
Statt auf den Keyserver zurückzugreifen (was auf vielen Seiten als
Howto empfohlen wird), kann aber auch den PGP-Schlüssel (alleine) in
vielen Fällen direkt von der Webseite des Repos herunterladen und
installieren
"curl https://[some_url_with_the_key] | apt-key add -"
Dies habe ich so auch schon des öfteren gesehen, wie sich aber im Laufe
der Diskussion herausstellte, sind diese Methoden deprecated - siehe [2]
Der korrekte Weg ist über die Installation der Schlüssel in trusted.gpg.d/
(Grund ist Unabhängigkeit von gnupg) - siehe dazu auch [3]. Also z.B:
"curl https://[some_url_with_the_key] | sudo apt-key --keyring /etc/apt/trusted.gpg.d/foo.gpg add -"
Voraussetzung ist hier der "dirmngr" (siehe z.B. [4])
Es können auch ASCII-armored keys in trusted.gpg.d/ abgelegt werden,
vorausgesetzt die Datei endet auf ".asc".
Sofern nicht selber schon gesehen/-lesen hier FYI
VG
Bernd
[0]
https://heise.de/-4458354
[1]
https://wiki.debian.org/SecureApt
[2]
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858238
[3]
https://manpages.debian.org/stretch/apt/apt-key.8.de.html
[4]
https://packages.debian.org/de/buster/dirmngr
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
