OpenOffice Repository GnuPG Key
Hallo zusammen, seit ein paar Tagen erhalte ich (11.1) unter yast und zypper die Warnung New repository or package signing key received: Key ID: 94F9ACD253809572 Key Name: OpenOffice.org:STABLE OBS Project OpenOffice.org:STABLE@build.opensuse.org Key Fingerprint: D3948FAFB8FD4AB39FBBB90694F9ACD253809572 Repository: openSUSE BuildService - OpenOffice.org Do you want to reject the key, trust temporarily, or trust always? [R/t/a/?]: Anscheinend hat sich der Key für das OOo Repository plötzlich geändert. Folgende Fragen in die Runde: * Hat sich der Key für das Repo tatsächlich geändert oder versucht mir jemand was unterzuschieben? * Welche offiziellen OpenSuse Kanäle informieren über Änderungen von Keys? * Wo kann man die Fingerprints der Repos verifizieren? Grüße ...Volker -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Volker
Hallo zusammen,
seit ein paar Tagen erhalte ich (11.1) unter yast und zypper die Warnung
New repository or package signing key received: Key ID: 94F9ACD253809572 Key Name: OpenOffice.org:STABLE OBS Project OpenOffice.org:STABLE@build.opensuse.org Key Fingerprint: D3948FAFB8FD4AB39FBBB90694F9ACD253809572 Repository: openSUSE BuildService - OpenOffice.org
Do you want to reject the key, trust temporarily, or trust always? [R/t/a/?]: (...) * Hat sich der Key für das Repo tatsächlich geändert oder versucht mir jemand was unterzuschieben?
Ich habe auch den Eindruck, dass SUSE/Novell das mit den Repo-Keys nicht allzuernst nehmen. Bei mir haben sich auch schon öfters Keys geändert. Auf den Projektseiten sind die Keys nirgends aufgelistet, soweit ich weiß, du kannst sie faktisch nicht verifizieren. Daher bleibt dir nichts anderes übrig, als das Repo entweder einzubinden oder es bleiben zu lassen. Toll, nicht war... Man könnte sich mal bei security@suse.de darüber beschweren (vielleicht besser in Englisch, man weiß ja nicht, wer das zu lesen bekommt). Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Monday 21 September 2009 20:39:05 Malte Gell wrote:
Volker
wrote Hallo zusammen,
seit ein paar Tagen erhalte ich (11.1) unter yast und zypper die Warnung
New repository or package signing key received: Key ID: 94F9ACD253809572 Key Name: OpenOffice.org:STABLE OBS Project OpenOffice.org:STABLE@build.opensuse.org Key Fingerprint: D3948FAFB8FD4AB39FBBB90694F9ACD253809572 Repository: openSUSE BuildService - OpenOffice.org
Do you want to reject the key, trust temporarily, or trust always? [R/t/a/?]: (...) * Hat sich der Key für das Repo tatsächlich geändert oder versucht mir jemand was unterzuschieben?
Ich habe auch den Eindruck, dass SUSE/Novell das mit den Repo-Keys nicht allzuernst nehmen. Bei mir haben sich auch schon öfters Keys geändert. Auf den Projektseiten sind die Keys nirgends aufgelistet, soweit ich weiß, du kannst sie faktisch nicht verifizieren. Daher bleibt dir nichts anderes übrig, als das Repo entweder einzubinden oder es bleiben zu lassen. Toll, nicht war...
Ja, das ist auch seit längerem mein Eindruck. Ich hab deshalb mal ganz unvoreingenommen gefragt, wie das eigentlich gedacht ist. In den offiziellen Suse Handbüchern steht dazu nichts, opensuse.org ist keine Hilfe und auf den Mailinglisten, einschliesslich opensuse-security, gibt's nur hin wieder Leute, die die selben Fragen stellen, ohne das das Thema voran kommt. Es existiert praktisch keine Dokumentation, ob es funktioniert weiss wohl niemand, den Anwendern und Novell scheint's wiederum egal zu sein. IMHO ist ein intransparentes und halbherzig durchgesetztes Sicherheitsinstrument meist schlechter als gar keines. Und die einzige Funktion der Repository-Signature in OpenSuse ist anscheinend die Anwender zu konditionieren, Sicherheitswarnungen weg zu klicken.
Man könnte sich mal bei security@suse.de darüber beschweren (vielleicht besser in Englisch, man weiß ja nicht, wer das zu lesen bekommt).
Ich würde mich nicht beschweren, höchstens Bugs reporten. Allerdings frage ich mich, ob es Sinn macht so offensichtliche und schon lang bestehende Misstände zu reporten - ich frage mich sogar, ob da überhaupt noch jemand in Nürnberg oder USA ist, den es interessiert.
Gruß Malte
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tue, Sep 22, 2009 at 04:17:51PM +0200, Volker wrote:
On Monday 21 September 2009 20:39:05 Malte Gell wrote:
Volker
wrote Hallo zusammen,
seit ein paar Tagen erhalte ich (11.1) unter yast und zypper die Warnung
New repository or package signing key received: Key ID: 94F9ACD253809572 Key Name: OpenOffice.org:STABLE OBS Project OpenOffice.org:STABLE@build.opensuse.org Key Fingerprint: D3948FAFB8FD4AB39FBBB90694F9ACD253809572 Repository: openSUSE BuildService - OpenOffice.org
Do you want to reject the key, trust temporarily, or trust always? [R/t/a/?]: (...) * Hat sich der Key für das Repo tatsächlich geändert oder versucht mir jemand was unterzuschieben?
Ich habe auch den Eindruck, dass SUSE/Novell das mit den Repo-Keys nicht allzuernst nehmen. Bei mir haben sich auch schon öfters Keys geändert. Auf den Projektseiten sind die Keys nirgends aufgelistet, soweit ich weiß, du kannst sie faktisch nicht verifizieren. Daher bleibt dir nichts anderes übrig, als das Repo entweder einzubinden oder es bleiben zu lassen. Toll, nicht war...
Ja, das ist auch seit längerem mein Eindruck. Ich hab deshalb mal ganz unvoreingenommen gefragt, wie das eigentlich gedacht ist. In den offiziellen Suse Handbüchern steht dazu nichts, opensuse.org ist keine Hilfe und auf den Mailinglisten, einschliesslich opensuse-security, gibt's nur hin wieder Leute, die die selben Fragen stellen, ohne das das Thema voran kommt.
Es existiert praktisch keine Dokumentation, ob es funktioniert weiss wohl niemand, den Anwendern und Novell scheint's wiederum egal zu sein. IMHO ist ein intransparentes und halbherzig durchgesetztes Sicherheitsinstrument meist schlechter als gar keines. Und die einzige Funktion der Repository-Signature in OpenSuse ist anscheinend die Anwender zu konditionieren, Sicherheitswarnungen weg zu klicken.
Das hoffe ich allerdings nicht.... Es ist nur so, das jedes Repo verschiedene Gruppen von Leute hat, denen man evt unterschiedlich vertraut.
Man könnte sich mal bei security@suse.de darüber beschweren (vielleicht besser in Englisch, man weiß ja nicht, wer das zu lesen bekommt). Ich würde mich nicht beschweren, höchstens Bugs reporten. Allerdings frage ich mich, ob es Sinn macht so offensichtliche und schon lang bestehende Misstände zu reporten - ich frage mich sogar, ob da überhaupt noch jemand in Nürnberg oder USA ist, den es interessiert.
"Melden macht frei" sagt man ja ;) Ich habe mal recherchiert. Der Secret Key des OpenOffice_org Basis Projektes ist einem Aufraeumjob zum Opfer gefallen (weil das OO-Org Basis Projekt komplett leer ist). Daraufhin wurden neue Keys fuer die Sub Projekte generiert. => Obige Aenderung in den OpenOffice_org:* repos ist OK. Auf opensuse-security hab ich die Frage nicht bewusst wahrgenommen bis jetzt, sie wird aber gelesen ;) Danke fuer die Wachsamkeit! Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 22. September 2009 17:20 schrieb Marcus Meissner
Der Secret Key des OpenOffice_org Basis Projektes ist einem Aufraeumjob zum Opfer gefallen (weil das OO-Org Basis Projekt komplett leer ist).
Daraufhin wurden neue Keys fuer die Sub Projekte generiert.
=> Obige Aenderung in den OpenOffice_org:* repos ist OK.
Wie wäre es, die Repository-Keys mit einem Rootkey zu signieren? Dann wäre obiger Satz automatisch überprüfbar. :-) Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Malte Gell
-
Marcus Meissner
-
Martin Schröder
-
Volker