10 Aug
2013
10 Aug
'13
11:27
Am 10. August 2013 10:37 schrieb Michael Skiba mailinglist@michael-skiba.de:
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen.
Und wie handhabt das System Schlüsselwechsel? Gar nicht. Praktisch kann man als Anwender die Keys nur blind absegnen - und sie garantieren nur, daß die Pakete mit _diesen_ Keys unterschrieben sind. Das ist aber ziemlich sinnlos, weil Dir ein Angreifer jederzeit einen neuen Schlüssel unterschieben kann.
Gruß Martin
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner@opensuse.org