Am 10. August 2013 10:37 schrieb Michael Skiba <mailinglist@michael-skiba.de>:
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen.
Und wie handhabt das System Schlüsselwechsel? Gar nicht. Praktisch kann man als Anwender die Keys nur blind absegnen - und sie garantieren nur, daß die Pakete mit _diesen_ Keys unterschrieben sind. Das ist aber ziemlich sinnlos, weil Dir ein Angreifer jederzeit einen neuen Schlüssel unterschieben kann. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org