Updated bei Debian niemand die GPG Keys auf der Webseite?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Cordess
Beiträge: 422
Registriert: 09.01.2006 00:37:22

Updated bei Debian niemand die GPG Keys auf der Webseite?

Beitrag von Cordess » 19.11.2021 07:15:06

Seit dem 9.10.2021 gibt es wohl vom "Debin CD signing key" Team einen neuen Schlüssel.
Das sagt zumindest die Signatur für die Prüfsummen zu den ISO Dateien:

Code: Alles auswählen

 gpg --verify SHA256SUMS.sign 
gpg: die unterzeichneten Daten sind wohl in 'SHA256SUMS'
gpg: Signatur vom Sa 09 Okt 2021 22:54:22 CEST
gpg:                mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Korrekte Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
Auf der Webseite gibt's eine Liste mit Key Fingerprints und da steht dann folgendes dabei:
Um das Leben für unsere Benutzer einfacher zu machen, hier die Fingerabdrücke der Schlüssel, die für Veröffentlichungen in den letzten Jahren genutzt worden sind:
https://www.debian.org/CD/verify

Das Problem:
Der neue Key vom 9.Oktober 2021 des "Debian CD signing key" Teams ist da gar nicht aufgelistet. Da sind nur die alten Keys aufgelistet.

Der Letzte Key, den ich in meiner Keyliste von diesem "Debian CD signing key" Team habe ist vom 5.1.2011. Diese werden von den neuen Signaturdateien aber nicht benutzt:

Code: Alles auswählen

pub   rsa4096 2011-01-05 [SC]
      DF9B9C49EAA9298432589D76DA87E80D6294BE9B
uid        [ unbekannt ] Debian CD signing key <debian-cd@lists.debian.org>
sub   rsa4096 2011-01-05 [E]

pub   rsa4096 2009-10-03 [SC]
      10460DAD76165AD81FBC0CE9988021A964E6EA7D
uid        [ unbekannt ] Debian CD signing key <debian-cd@lists.debian.org>

Und dann frage ich mich, warum solche neuen Keys nicht über signierte apt Pakete upgedated werden?
Sobald eine Installation also ein paar Jahre alt ist und immer nur auf die neue Distriversionversion upgegradet wurde, muss man jetzt für neue Keys sich über Webseite und FTP Server irgendwelche "dubiosen" Keys holen, nur weil man bei Debian nicht in der Lage ist, die bereits vertrauenswürdige Paketbasierte Signierungsinfrastruktur zu nutzen.
Oder gibt's da ein Paket, das man manuell installieren muss um die neuen Keys zu erhalten?

Ebenso hätte man ja mit einem alten "Debian CD signing key" eine neuen "Debian CD signing key" signieren können. Das wird aber scheinbar auch nicht genutzt.

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Updated bei Debian niemand die GPG Keys auf der Webseite?

Beitrag von Blackbox » 19.11.2021 11:49:31

Aus meiner Sicht bringt es wenig, deine gesammelten Erkenntnisse hier zu diskutieren, ohne gleichzeitig einen Bugreport gegen beispielsweise Debiandebian-keyring zu erstellen.
Darüber sollte sich das Problem schnell klären lassen, denke ich.
Wohlwissend, dass sich innerhalb der Debian Infrastruktur einiges geändert hat.
Möglich wäre also auch, dass sich die gesuchten Informationen nun an anderer Stelle finden lassen.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Updated bei Debian niemand die GPG Keys auf der Webseite?

Beitrag von Meillo » 19.11.2021 12:18:14

Dass du in so einem Fall zuvor hier fragst, kann ich gut verstehen, weil es ja doch oft nicht schlecht ist, zuerst mal zu pruefen, ob man selber nicht etwas uebersehen hat.


Ich denke auch, dass du das Problem direkt an das Debian-Projekt weiterleiten solltest.

Im Footer der Website steht:
To report a problem with the web site, please e-mail our publicly archived mailing list debian-www@lists.debian.org in English. For other contact information, see the Debian contact page.
Viel Vergnuegen! :THX:
Use ed once in a while!

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Updated bei Debian niemand die GPG Keys auf der Webseite?

Beitrag von Blackbox » 19.11.2021 15:44:56

Das ist auch eine sehr gute Idee.
Auch von mir viel Erfolg für dieses Vorhaben!

Interessant könnten auch folgende Quellen sein:
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
ung
Beiträge: 24
Registriert: 28.03.2017 20:56:32

Re: Updated bei Debian niemand die GPG Keys auf der Webseite?

Beitrag von ung » 20.11.2021 01:16:11

Cordess hat geschrieben: ↑ zum Beitrag ↑
19.11.2021 07:15:06
Seit dem 9.10.2021 gibt es wohl vom "Debin CD signing key" Team einen neuen Schlüssel.
Der CD Schlüssel 6294BE9B vom 5.1.2011 ist nach wie vor gültig und steht korrekt auf debian.org
Es hat sich am 9.10.2021 nur die Signatur der ISO Prüfsummen geändert, weil die ISO Dateien aktualisiert wurden.

Neue Archiv Schlüssel für Debian 11 (Bullseye) gibt es seit Januar, sie sind im Debiandebian-archive-keyring
(CD Schlüssel in ISO oder als Paket: Henne-Ei-Problem)

Cordess
Beiträge: 422
Registriert: 09.01.2006 00:37:22

Re: Updated bei Debian niemand die GPG Keys auf der Webseite?

Beitrag von Cordess » 27.11.2021 15:11:04

ung hat geschrieben: ↑ zum Beitrag ↑
20.11.2021 01:16:11
Der CD Schlüssel 6294BE9B vom 5.1.2011 ist nach wie vor gültig und steht korrekt auf debian.org
Es hat sich am 9.10.2021 nur die Signatur der ISO Prüfsummen geändert, weil die ISO Dateien aktualisiert wurden.
Ah, okay. Mein Fehler.
Neue Archiv Schlüssel für Debian 11 (Bullseye) gibt es seit Januar, sie sind im Debiandebian-archive-keyring
(CD Schlüssel in ISO oder als Paket: Henne-Ei-Problem)
Der CD Schlüssel fehlt in diesem Paket leider noch.
Es muss kein Henne-Ei-Problem sein, wenn man neue ISO auf einem bestehenden Debian System prüfen will.

Bezüglich dem Bugreport. Wenn man einen Bugreport per Webinterface und dortigen Account erstellen könnte, würde ich den jetzt erstellen, aber per E-Mail ist mir das erstens zu umständlich und zweitens will ich nicht, dass meine E-Mail Adresse in Bugreports sichtbar für jedermann lesbar ist.

Und bei der Mailingliste ist es das gleiche Problem.
Wer aber nen Debian Entwickler kennt, der kann ja ihn auf obiges Problem hinweisen, so dass der das entsprechend weiterleiten kann.

Antworten