Verifizierbarer Repository-Schlüssel

Benedikt Wildenhain kolab.org at benedikt-wildenhain.de
Di Jun 24 11:25:47 CEST 2014


Hallo,

ich würde gerne Kolab unter Debian installieren. Dabei soll man laut
https://docs.kolab.org/installation-guide/debian.html die beiden
folgenden Schlüssel importieren:

# wget -qO - http://obs.kolabsys.com:82/Kolab:/3.2/Debian_7.0/Release.key | apt-key add -
# wget -qO - http://obs.kolabsys.com:82/Kolab:/3.2:/Updates/Debian_7.0/Release.key | apt-key add -

Dabei erhält man dann u.A. den folgenden Schlüssel (da der o.g.
Webserver gerade down ist, kann ich z.Zt. nicht überprüfen, welcher der
beiden Schlüssel das ist):

$ gpg --list-sigs B4F6D430
pub   2048R/B4F6D430 2014-02-13 [vervaldatum: 2016-04-23]
uid                  Kolab:3.2 OBS Project <Kolab:3.2 at obs.kolabsys.com>
sig 3        B4F6D430 2014-02-13  Kolab:3.2 OBS Project <Kolab:3.2 at obs.kolabsys.com>
sig 3        420C4B8B 2014-02-13  [Gebruiker ID niet gevonden]

$ gpg --recv-keys 420C4B8B
gpg: opvragen sleutel 420C4B8B van hkp sleutelserver keys.gnupg.net
gpgkeys: key 420C4B8B can't be retrieved

Der Schlüssel wird also über eine ungesicherte HTTP-Verbindung angeboten
und besitzt keine ohne Weiteres verifizierbaren Unterschriften, was
Person-in-the-middle-Angriffe ermöglicht. Gibt es eine offizielle
Möglichkeit, die Korrektheit dieses Schlüssels zu überprüfen?

Viele Grüße,
Benedikt Wildenhain


Mehr Informationen über die Mailingliste users-de