Yast Software Key neu; akzeptieren?

Hi@all Linuxfriends,
ich habe eine Frage bezüglich der Yast Channel respektive der Key-Akzeptanz.
Ich habe mein openSuSE 10.3 64 Bit schon seit einiger Zeit im Rennen.
Heute wollte ich lediglich den Kernel aktualisieren.
Also yast2 sw_single aufgerufen und los gehts.
Als Repositories habe ich die, welche sich auch hier bei euch finden lassen, eingetragen.
Nach kurzer Zeit wurde ich gefragt, ob ich den Schlüssel (Key) für Virtualisierung von build.opensuse.org akzeptieren möchte, wobei dieser keine Signierung von blabla (k. Ahnung) habe.
Meine Fragen dazu:
Woher -wer erzeugt diese- kommen die Keys?
Darf man, egal welche Schlüssel, getrost akzeptieren?
Wieviel Sicherheit ist hierbei gewährleistet?
Was kann ein falscher Key anrichten? (ich denke hierbei an Exploits)
Hat schon jemand erfahren, ob sich irgendwelche Ungereimtheiten im Internet tummeln?

---
thanks
exponator

Auf er SuSE-Mailinglist gab es ein paar Kommentare dazu, welche zumindest einige Deiner Fragen beantworten sollte: »klick«.

Unter Ubuntu gab es mal ein Experiment mit einer Paketquelle, dem Pseudo-Malware in Form eines nach dem booten erscheinenden Wallpapers beilag. Dieses Wallpaper tat so, als sei die jeweilige Kiste mit irgendetwas infiziert (wenn ich mich richtig erinnere) - es ist also durchaus möglich, über eine Paketquelle ein System zu kompromittieren, deshalb ist die Herangehensweise mit den Key-IDs auch sehr wichtig.

Aaaahhhaaa.
Vielen Dank dafür.

Na is ja toll, wenn da jeder mitmachen kann und der Enduser dann doch noch die Aufgabe hat Akzeptanz zu zeigen oder es zu lassen.
Somit ist man von der Seite aussem Schneider, wenns mal schief läuft.
Oder habe ich was falsch verstanden?
Steht doch da:

Everybody can go to build.opensuse.org and get at least an own home:<login> project where you can build and publish packages.
As a consequence of this openess of the build service, users should have
the possibility to decide whom to trust and whom not.

Zum Vergrößern anklicken....

Die sind ja lustig.
Das ist doch für einen Otto-Normal-User viel zu undurchsichtig.
Zumal ein solcher User die Leute, die da mitmachen, überhaupt nicht kennt. Geschweige denn, davon gehört hat.
Also, so schlussfolgere ich:
Summa-Summarum geht man bestenfalls mit solchen Key-Vertrausensstellungen so um, wie mit dem Gutdünken:
"Na? Vielleicht doch erst mal lassen und sich umhören? Könnte ja was böses hinterstecken."

Oder werden die Leute, die dort mitmachen, auf Herz und Nieren geprüft?
Ich glaube dafür ist keine Zeit. Oder?

Ein echter Linux-Newbie sollte sich nichts vormachen.
Auch wenn Linux weitaus sicherer ist als Windows, sollte man dennoch Vorsicht walten lassen.
Und nicht denken:

Und wenn 's mal doch so ist und man hat einen Key akzeptiert und wird dann mit Müll überladen, der das System kompromittiert, ist man dann auch noch selbst schuld und von derer Seite ist man fein aus dem Schneider. Hä?
Wenn dem so ist, kann ich auch wieder Windows nehmen.
Dann kann ich von der hochgelobten Sicherheit nichts mehr halten.


Man kann es doch überall lesen:
Ein 100%ig sicheres System gibt es nicht, es sei denn es ist leer und der PC aus.
Mit anderen Worten:
Datensicherheit fängt bei dem kleinen Mann an.
Mit Sicherungen ist man fein aus 'm Schneider.
Gelle?

Der 'Otto-Normal-User' hat auch eigentlich keine Notwendigkeit, sich unbedingt Pakete aus dem Buildserver zu angeln. Die offiziellen Pakete fragen (soweit ich weiß) nicht nach einem Schlüssel.
Der Distributor hat meiner Meinung nach nicht die Aufgabe, dem 'Otto-Normal-User' das Denken abzunehmen. Macht der Distributor von Windows auch nicht. Sonst gäbe es nicht so viele Kisten mit Viren- und Würmerbefall.
Ein System ist immer so sicher, wie man selber es macht/hält. Einige Systeme machen es allerdings leichter als andere. Den Kopf einschalten muss man aber immer.

Die Story mit dem ubuntu-Repo kenne ich etwas anders.
Das war kein Experiment, vielmehr ist das entsprechende Repository auf einer dieser 'Schaut-her,-was-es-alles-für-Quellen-gibt' (aka. 'Die-längste-sources.lst-der-Welt) gelandet. Diese Quelle war aber eigentlich nur für einen kleinen Kreis von Testern in einem privaten Rahmen vorgesehen und nun schossen dort die Hostingkosten unter die Decke. Das hat den Ersteller der Quelle verständlicherweise etwas 'genervt' und er hat dann ein Paket erstellt, das den Desktop-Hintergrund ausgetauscht hat und dort in einem kurzen Text erklärt wie gefährlich es zum einen sein kann, unbekannte, unbenötigte Quellen ungeprüft zu übernehmen, zum anderen wie teuer es den Ersteller gekommen ist, dass nun Gott und die Welt den Traffic in die Höhe getrieben hat.

Grothesk schrieb:

Der 'Otto-Normal-User' hat auch eigentlich keine Notwendigkeit, sich unbedingt Pakete aus dem Buildserver zu angeln.

Zum Vergrößern anklicken....

Stimmt. Hier muss ich einräumen, daß es wohl meine eigene Wenigkeit war, die dem zugestimmt hat.

Der Distributor hat meiner Meinung nach nicht die Aufgabe, dem 'Otto-Normal-User' das Denken abzunehmen. Macht der Distributor von Windows auch nicht. Sonst gäbe es nicht so viele Kisten mit Viren- und Würmerbefall.

Zum Vergrößern anklicken....

Riiischtiiisch. (würde Paul Panzer jetzt sagen.)
Seitens Windows gesagt: Leider gibt es immer noch zu viele User die absolut nicht darauf hören wollen,
aber wenn es zu spät ist anfangen zu weinen weil keine Sicherung vorhanden ist.

Ein System ist immer so sicher, wie man selber es macht/hält. Einige Systeme machen es allerdings leichter als andere. Den Kopf einschalten muss man aber immer.

Zum Vergrößern anklicken....

Ist auch meine Meinung.
Umso mehr, wenn man Windows sein Eigen nennt.
Daher finde ich das behandelte Thema: 'Absichern des eigenen Servers' im Wiki so gut. Man kann es ja auch für Workstations anwenden.
Ich kannte bis dato die Story mit dem ubuntu-Repo nicht.
Aber schon genial und vor allem aufklärend.

...und nun schossen dort die Hostingkosten unter die Decke. Das hat den Ersteller der Quelle verständlicherweise etwas 'genervt' und er hat dann ein Paket erstellt, das den Desktop-Hintergrund ausgetauscht hat und dort in einem kurzen Text erklärt wie gefährlich es zum einen sein kann, unbekannte, unbenötigte Quellen ungeprüft zu übernehmen, zum anderen wie teuer es den Ersteller gekommen ist, dass nun Gott und die Welt den Traffic in die Höhe getrieben hat.

Zum Vergrößern anklicken....

>>Entschuldige bitte das Eingreifen ins Zitat, wegen: unterstreichen und fettgedruckt.

Aber genau das ist es, was JEDER wissen sollte.
Uups. Ich gehörte bis jetzt ja auch dazu.
Bleibt nur die Frage: Warum hören einige nicht darauf.
Prima erläutert.

Ist für Außenstehende schon lustig anzuhören, das der Traffic in die Höhe schoß. Wenn man aber mal selbst in dieser Lage ist, ist das nicht mehr so lustig. Prima erklärt. Danke Dir.

Nun bin aber auch ich schlauer geworden, was der Key-Akzeptanz anbelangt.
Jaja. Man sollte nicht immer vorschnell das Neuste vom Neusten haben wollen. Der stable-Zweig ist meist vollkommen genug.
Umsonst gibt es wohl nicht die LIVE-CDs. Gelle?
Erst mal anschauen und testen. Wenn 's gefällt und man mit kleinen Bugs leben kann, installieren.

Danke Dir nochmals für Deine ausfühliche Erklärung.
Schick und vor allem hilfreich.