Am Samstag, 10. August 2013, 13:27:36 schrieb Martin Schröder:
Am 10. August 2013 10:37 schrieb Michael Skiba <mailinglist@michael- skiba.de>:
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen.
Und wie handhabt das System Schlüsselwechsel? Gar nicht. Praktisch kann man als Anwender die Keys nur blind absegnen - und sie garantieren nur, daß die Pakete mit _diesen_ Keys unterschrieben sind. Das ist aber ziemlich sinnlos, weil Dir ein Angreifer jederzeit einen neuen Schlüssel unterschieben kann. Womit die Integrität der neuen Daten immer noch (bzw. wieder) gewährleistet ist :-)
-- Grüße, Michael