Debians Archivsignierschlüssel wird geändert

23. Mai 2009

Das Debian-Projekt möchte bekanntgeben, dass der GNU Privacy Guard-Schlüssel, der zum Signieren seiner Archivreferenzdateien verwandt wird, sich ändert. Signaturen werden dazu verwandt sicherzustellen, dass die von Benutzern installierten Pakete genau diejenigen sind, die auch ursprünglich von Debian verteilt und nicht ausgetauscht oder manipuliert wurden.

Betroffen sind der Unstable-Zweig von Debian (Codename Sid) sowie der Testing-Zweig (Codename Squeeze). Die aktuelle stabile Version Debian GNU/Linux 5.0 (Codename Lenny) und die aktuelle Oldstable-Version Debian GNU/Linux 4.0 (Codename Etch) werden auch vom Ftpmaster eine aktuelle Signatur erhalten. Die Signatur der Veröffentlichungsmanager bleibt unverändert. Der aktuell verwandte Schlüssel wird in Kürze auslaufen. Der neue Schlüssel wurde bereits mit dem Paket debian-archive-keyring verteilt. Für Benutzer der aktuellen stabilen Veröffentlichung Debian GNU/Linux 5.0 (Codename Lenny) wird keine Maßnahme von Seiten der Benutzer benötigt, da mit Debian GNU/Linux 5.0 (Codename Lenny) bereits der neue Schlüssel ausgeliefert wurde. Benutzer der aktuellen alten stabilen Veröffentlichung Debian GNU/Linux 4.0 (Codename Etch) sollten sicherstellen, dass sie ein Upgrade auf die neuste Zwischenveröffentlichung 4.0r8 durchgeführt haben, da diese ein Upgrade des Paketes mit dem neuen Schlüssel enthält. Benutzer des Testing-Zweigs (Codename Squeeze) und Debians Unstable-Zweig (Codename Sid) sollten sicherstellen, dass Sie mindestens Version 2009.01.31 des Pakets debian-archive-keyring installiert haben.

Beginnend mit der nächsten Spiegelaktualisierung heute Abend und für die nächsten drei Wochen wird das Archiv sowohl mit dem alten als auch dem neuen Schlüssel digital signiert. Ab dem 13. Juni wird nur der neue Schlüssel verwendet.

Als Referenz hier die Information zum alten Schlüssel:

  pub   1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
  uid                  Debian Archive Automatic Signing Key (4.0/etch) <ftpmaster@debian.org>

Und der neue lautet:

  pub   4096R/55BE302B 2009-01-27 [expires: 2012-12-31]
  uid                  Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>

Dieser Schlüsselaustausch ist eine normale Wartungsaufgabe, die im Januar begann. Aus Sicherheitsgründen verfallen die Archivsignierschlüssel von Debian regelmäßig nach drei Jahren.

Über Debian

Das Debian-Projekt ist eine Organisation von Entwicklern Software, die über das Internet zusammenarbeiten und freiwillig ihre Zeit und Fähigkeiten investieren. Ihre Aufgaben umfassen die Betreuung und Aktualisierung von Debian GNU/Linux, welches eine freie Distribution des GNU/Linux-Betriebssystems ist. Debians Hingabe für Freie Software, seine gemeinnützige Natur und sein offenes Entwicklungsmodell macht es einzigartig unter den GNU/Linux-Distributionen.

Kontakt-Informationen

Für weitere Informationen besuchen Sie bitte die Debian-Webseiten unter http://www.debian.org/ oder schicken Sie eine E-Mail an <press@debian.org>.