• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

was ist denn dieser public-key-server "pgp.mit.edu&quot

donatz

Newbie
Hallo!
Ich konnte mich hier schon recht gut informieren, das es derzeit Probleme mit dem Key-Server für smart gibt.
Ein smart config --set keyserver=pgp.mit.edu soll das ganze ja beheben. Nur was mich vorab interessieren würde: Was ist das eigentlich für ein Server (pgp.mit.edu)? Wenn das überhaupt einer ist, googeln brachte mir leider keine Info`s.

Ich will nicht durchtrieben paranoid wirken, aber bevor ich etwas in die smart config aufnehme hätte ich halt gerne gewusst, wie zuverlässig der Server ist (ist für ne Produktiv-Umgebung)

Vielen Dank!

cu,
donatz
 
Das mit dem Keyserver ist kein Problem! Es ist ein neues Feature.

Ein Problem wird es nur, wenn man die Signatur-Überprüfung vorher deaktiviert hatte. Dann muss man den Keyserver nämlich selbst einstellen, ansonsten wird er automatisch eingestellt. Wie man den Keyserver einstellt, steht ja bereits in der Fehlermeldung drin. Es gibt auch andere Keyserver, aber pgp.mit.edu ist selbstverständlich seriös.

Das Feature dient dazu, die öffentlichen GPG-Keys, mit denen man die RPMs kryptografisch verifizieren kann, automatisch zu importieren. Ein Keyserver ist nichts anderes als eine Sammlung öffentlicher Schlüssel, damit man die Schlüssel nicht alle einzeln suchen muss.

Was die Sicherheit angeht: "Eigentlich" ist es relativ witzlos, GPG-Keys "einfach so" zu importieren. Mindestens den Fingerprint des Keys muss man selbst überprüfen. Der wird beim Importieren übrigens auch angezeigt. Das ist allerdings eine grundsätzliche Frage und hat nichts mit dem Keyserver zu tun: Genau dasselbe muss man auch machen, wenn man die Keys selbst sucht oder rpmkey-RPMs verwendet.
 
OP
donatz

donatz

Newbie
@ traffic

Hallo!

Kannst du mir bitte noch kurz verraten, wie du den fingerprint des pubkeys prüfst?
Wenn durch smart/gpg der pubkey auf dem keyserver gefunden und importiert wird, bekomme ich nen fingerprint angezeigt.
Wird dieser fingerprint vom keyserver mitgeliefert, oder errechnet gpg diesen fingerprint lokal nach dem importieren?
Gegen was prüfst du? Muss ich mir den key lokal runterladen und dann mit md5 ne Prüfsumme vom key erstellen und diese zum vergleichen hernehmen?

Vielen Dank für die Hilfe!

cu,
donatz
 
Den Fingerprint tauscht man normalerweise mit dem Inhaber des Schlüssels über ein sicheres Medium, d.h. nicht über das Internet aus.

Da Du die Schlüsselinhaber nicht persönlich kennst bzw. nicht die Möglichkeit hast, mit ihnen über ein sicheres Medium zu kommunizieren, ... Den Rest kannst Du Dir denken? ;)

Ansonsten auch mal hier lesen:

http://einklich.net/anleitung/pgp2.htm

Im Speziellen:

http://einklich.net/anleitung/pgp2.htm#hak
 
OP
donatz

donatz

Newbie
danke, hatte ich vorher schon gelesen...wie so vieles andere auch ;-)

deswegen hatte ich mich ja gefragt: Wie prüfst du den fingerprint, wie komm ich an den originalen fingerprint? :roll:

danke! ;-)
 
donatz schrieb:
Wie prüfst du den fingerprint, wie komm ich an den originalen fingerprint?
Wie Du an den Fingerprint rankommst?

Du rufst beim Inhaber des Schlüssels an, vereinbarst ein persönliches Treffen und lässt Dir bei diesem Treffen den Fingerprint auf einem Stück Papier übergeben.
 

joka

Member
donatz schrieb:
Kannst du mir bitte noch kurz verraten, wie du den fingerprint des pubkeys prüfst?
Wenn durch smart/gpg der pubkey auf dem keyserver gefunden und importiert wird, bekomme ich nen fingerprint angezeigt.

Gegen was prüfst du? Muss ich mir den key lokal runterladen und dann mit md5 ne Prüfsumme vom key erstellen und diese zum vergleichen hernehmen?
Auf den SMART-Installationsquellen sollte der pubkey ja auch abgelegt sein. Man kann also zumindest überprüfen, ob dieser pubkey mit dem auf dem Keyserver pgp.mit.edu übereinstimmt.

Beispiel: der Pubkey von oc2pus befindet sich in http://ftp.gwdg.de/pub/linux/misc/suser-oc2pus/10.1/gpg-pubkey-oc2pus.asc
Diese Datei kann man herunterladen und in ein PGP/GPG-Schlüsselverwaltungsprogramm (z.B. gpa) importieren; dort kann man sich dessen Fingerprint anschauen und mit dem vom Keyserver vergleichen.
 

TomcatMJ

Guru
Kleine Anmerkung zur Frage was das eigentlich für ein Server unter der URL pgp.mit.edu ist: Es ist der PGP-Keyserver des "Massachusetts Institute of Technology", einer der renomiertesten Technischen Universitäten überhaupt....im übrigen ist es die Universität an der PGP entwickelt wurde ;-)

Bis denne,
Tom
 

oc2pus

Ultimate Guru
TomcatMJ schrieb:
Kleine Anmerkung zur Frage was das eigentlich für ein Server unter der URL pgp.mit.edu ist: Es ist der PGP-Keyserver des "Massachusetts Institute of Technology", einer der renomiertesten Technischen Universitäten überhaupt....im übrigen ist es die Universität an der PGP entwickelt wurde ;-)

aber dennoch ist er soooo schwer zu finden :)

vielleicht liegt es einfach an einem Firewallproblem, das HKP Protokoll benötigt einen speziellen "outgoing tcp" Port, sonst geht nichts ...
 
Oben