Wozu dienen GPG-Schlüssel bei Repositories? - TUXEDO Computers

  ACHTUNG: Zur Nutzung unseres Shops müssen Sie zwingend JavaScript aktivieren und Script-Blocker deaktivieren!  
Vielen Dank für Ihr Verständnis!

Wozu dienen GPG-Schlüssel bei Repositories?

    Im Allgemeinen sind sowohl interne Distributions-Repositories als auch Repositories aus dritter Hand mit einem GPG-Schlüssel geschützt. Solange diese Schlüssel nicht in falsche Hände geraten, können Dritte diese Repositories nicht manipulieren.

    Würde ein Angreifer den Server mit dem Repository hacken und Inhalte verändern, ohne im Besitz des Schlüssels zu sein, so würde dies auffallen, da er seine Änderungen nicht mit dem Originalschlüssel signieren könnte.

    Bisherige Methode apt-key veraltet

    Debian und infolgedessen auch dessen Derivate wie unter anderem Ubuntu und TUXEDO OS nutzten seit Langem ein Werkzeug namens apt-key, um diese Schlüssel im Dateisystem abzulegen. Bereits seit rund 10 Jahren ist die Methode in Debian als unsicher deklariert und wird mit Debian 12 im Jahr 2023 auslaufen. 

     

    Die meisten Anbieter von Repositories aus dritter Hand verwenden in ihren Anweisungen zum Einfügen ihrer Repositories noch apt-key, wie etwa der Messenger Wire. Dort findet man die Anweisung:

     

    wget -q https://wire-app.wire.com/linux/releases.key -O- | sudo apt-key add -

    zum Herunterladen und Einfügen des Schlüssels, gefolgt von:

     

    echo "deb [arch=amd64] https://wire-app.wire.com/linux/debian stable main" | sudo tee /etc/apt/sources.list.d/wire-desktop.list

    zum Anlegen der entsprechenden Zeile in der Quellenliste unter /etc/apt/sources.list.d.

     

    Wenn Sie dieser Anleitung folgen, erhalten Sie seit einiger Zeit beim anschließenden sudo apt update folgende Fehlermeldung: 

     

    W: https://wire-app.wire.com/linux/debian/dists/stable/InRelease: Schlüssel ist im veralteten Schlüsselbund trusted.gpg gespeichert (/etc/apt/trusted.gpg), siehe den Abschnitt MISSBILLIGUNG in apt-key(8) für Details.

     
    Empfohlenes Vorgehen

    Der Messenger Signal hat seine Anleitung zum Einfügen des Repositories bereits umgestellt:

     

    wget -O- https://updates.signal.org/desktop/apt/keys.asc | gpg --dearmor > signal-desktop-keyring.gpg
    cat signal-desktop-keyring.gpg | sudo tee -a /usr/share/keyrings/signal-desktop-keyring.gpg > /dev/null

    lädt den Schlüssel herunter und legt ihn in /usr/share/keyrings/ ab.


    echo 'deb [arch=amd64 signed-by=/usr/share/keyrings/signal-desktop-keyring.gpg] https://updates.signal.org/desktop/apt jammy main' | sudo tee -a /etc/apt/sources.list.d/signal-jammy.list

     

    fügt die korrekte Zeile in die Quellenliste ein.

     

    Das ist das generell empfohlene Vorgehen, für das es in Debian noch keine grafische Umsetzung oder ein Script gibt. In Ubuntu und TUXEDO OS kann neben der hier beschriebenen Methode auch Ubuntu Software bzw. Plasma Discover zum Einfügen von Repositories aus dritter Hand verwendet werden. Wir haben unsere Anleitung dafür entsprechend angepasst.