Am 10. August 2013 10:37 schrieb Michael Skiba mailinglist@michael-skiba.de:
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen.
Und wie handhabt das System Schlüsselwechsel? Gar nicht. Praktisch kann man als Anwender die Keys nur blind absegnen - und sie garantieren nur, daß die Pakete mit _diesen_ Keys unterschrieben sind. Das ist aber ziemlich sinnlos, weil Dir ein Angreifer jederzeit einen neuen Schlüssel unterschieben kann.
Gruß Martin