Debians arkivsigneringsnøgle ændres

23. maj 2009

Debian-projektet gør opmærksom på, at den GNU Privacy Guard-nøgle, der anvendes til at signere projektets arkivreferencefiler, ændres. Singaturer anvendes til at sikre, at de pakker, brugerne installerer, er helt de samme som oprindelig blev distribueret af Debian, og ikke er blevet erstattet eller modificeret.

Påvirkede distributioner er Debians ustabile gren (kodenavn sid) foruden testing-grenen (kodenavn squeeze). Den aktuelle stabile version, Debian GNU/Linux 5.0 (kodenavn lenny) og den aktuelle gamle stabile version, Debian GNU/Linux 4.0 (kodenavn etch) vil også få deres ftpmaster-signaturer opdateret. De udgivelsesansvarliges signatur forblive uændret. Den pt. anvendte nøgle udløber snart. Den nye nøgle er allerede blevet distribueret gennem pakken debian-archive-keyring. Brugere af den aktuelle stabile udgave, Debian GNU/Linux 5.0 (kodenavn lenny) skal ikke foretage sig noget på brugersiden, da Debian GNU/Linux 5.0 (kodenavn lenny) blev leveret med den nye nøgle. Brugere af den gamle stabile udgave, Debian GNU/Linux 4.0 (kodenavn etch) bør sikre sig, at have opgraderet til den seneste punktopdatering, version 4.0r8, der tilføjede en opdateret pakke indeholdende den nye nøgle. Brugere af Debians testing-gren (kodenavn squeeze) og Debians ustabile gren (kodenavn sid) bør sikre sig, at den seneste version, 2009.01.31, af pakken debian-archive-keyring er installeret.

Begyndende med den næste filspejlsopdatering i aften, og i det kommende tre uger, vil arkivet være digitalt signeret med både den gamle og den nye nøgle. Fra den 13. juni vil kun den nye nøgle blive anvendt.

Til reference, den gamle nøgle er:

  pub   1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
  uid                  Debian Archive Automatic Signing Key (4.0/etch) <ftpmaster@debian.org>

Og den nye er:

  pub   4096R/55BE302B 2009-01-27 [expires: 2012-12-31]
  uid                  Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>

Nøgleudskiftningen er en almindelig vedligeholdelsesopgave, og den blev påbegyndt i januar. Af sikkerhedsårsager udløber Debians arkivsigneringsnøgler fast efter tre år.

Om Debian

Debian-projektet er en organisation af mange udviklere som frivilligt bidrager med tid og kræfter, og samarbejder via internettet. Deres opgaver består blandt andre i at vedligeholde og opdatere Debian GNU/Linux, der er en fri distribution af styresystemet GNU/Linux. Debians dedikation til fri software, dets non-profit-natur og dets åbne udviklingsmodel, gør det unikt blandt GNU/Linux-distributioner.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på http://www.debian.org/ eller send e-mail på engelsk til <press@debian.org>.