Mailinglist Archive: opensuse-buildservice (287 mails)

< Previous Next >
Re: [opensuse-buildservice] RFC: OBS repository security enhancements
  • From: Adrian Schröter <adrian@xxxxxxx>
  • Date: Thu, 6 Sep 2007 08:36:34 +0200
  • Message-id: <200709060836.35004.adrian@xxxxxxx>
On Wednesday 05 September 2007 18:13:07 wrote Dirk Stoecker:
> On Wed, 5 Sep 2007, Adrian Schröter wrote:
> > * People who currently use repositories from OBS will need to import the
> > new gpg key(s). Otherwise the package managers will report errors.
>
> Is signing with two keys possible? If so use a new buildservice key and
> still sign all packages with the old one (at least for older
> distributions). Add multi-key handling for openSUSE 10.3 and start using it
> there.

We discussed this as well. It is technical possible but showed more problems. 
The biggest one is that people just can remove one of the keys on their 
mirror, so YaST would only check only one. If this is only the generic OBS 
key, it is not enough anymore, but YaST (and any other package manager afaik) 
can not decide between trusted and less trusted keys.

> > * Allow upload of privates to be used to sign repos ?
> >   These keys *must not* get signed by the global OBS key, since they can
> > be used elsewhere.
>
> Don't think this is useful. I would not upload any of my private keys. But
> I would like to sign my repository-key with my private key. The
> buildservice should then provide the signed public keys.

You could create another private key pair to upload, which you sign with your 
main key.

But yes, it is additionally possible to implement something that you can sign 
repos without to upload your private key.

Both are possible things to be implemented in future additionally.

> > * Does it make sense allow to reuse one key for multiple projects ?
> >   Does anyone want to have this at all ?
>
> - If multiple signatures are possible, this would be useful.
> - Also it would be required to have only one key for subprojects
>    (e.g. Education:xxx)

k, +1

bye
adrian


-- 

Adrian Schroeter
SUSE LINUX Products GmbH, GF: Markus Rex, HRB 16746 (AG Nürnberg)
email: adrian@xxxxxxx

---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-buildservice+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-buildservice+help@xxxxxxxxxxxx

< Previous Next >
Follow Ups