Modification de la clé utilisée pour signer l'archive Debian

23 mai 2009

Le projet Debian annonce la modification de la clé GPG (GNU Privacy Guard) utilisée pour signer numériquement les fichiers de référence de l'archive. Les signatures servent à vérifier que les paquets installés par les utilisateurs sont bien ceux distribués par Debian et n'ont pas été échangés ou modifiés.

Les distributions concernées sont la branche unstable (Sid) ainsi que la branche testing (Squeeze). Les signatures de la version actuelle Debian GNU/Linux 5.0 (Lenny) et de la précédente Debian GNU/Linux 4.0 (Etch) seront modifiées également (la signature des responsables de publication restera inchangée). La clé actuellement utilisée expirera bientôt. La nouvelle clé est déjà présente dans le paquet debian-archive-keyring. Pour les utilisateurs de la version stable actuelle Debian GNU/Linux 5.0 (Lenny), aucune action n'est nécessaire puisque la nouvelle clé a déjà été livrée avec. Les utilisateurs de l'ancienne version stable Debian GNU/Linux 4.0 (Etch) devraient s'assurer d'avoir mis à niveau vers la dernière mise à jour 4.0r8 qui contient un paquet mis à jour avec la nouvelle clé. Les utilisateurs de la branche testing (Squeeze) et de la branche unstable (Sid) devraient vérifier d'avoir installé au moins la version 2009.01.31 du paquet debian-archive-keyring.

À partir de la prochaine mise à jour des miroirs ce soir, et pendant les trois prochaines semaines, l'archive sera signée numériquement à la fois par l'ancienne et la nouvelle clé. À partir du 13 juin, seule la nouvelle clé sera utilisée.

Pour référence, l'ancienne clé est :

  pub   1024D/6070D3A1 2006-11-20 [expire: 2009-07-01]
  uid                  Debian Archive Automatic Signing Key (4.0/etch) <ftpmaster@debian.org>

et la nouvelle :

  pub   4096R/55BE302B 2009-01-27 [expire: 2012-12-31]
  uid                  Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>

Ce renouvellement de clé est une tâche de maintenance courante qui a commencé en janvier. Par sécurité, les clés de l'archive Debian expirent normalement au bout de trois ans.

À propos de Debian

Le projet Debian est une organisation de développeurs de logiciels libres qui offrent volontairement leur temps et leurs efforts en collaborant sur Internet. Leur tâche comprend notamment le maintien et la mise à jour de Debian GNU/Linux, qui est une distribution libre basée sur le système d'exploitation GNU/Linux. Le dévouement de Debian au logiciel libre, sa nature non lucrative et son modèle de développement ouvert la rendent unique parmi les distributions GNU/Linux.

Contacts

Pour de plus amples informations, veuillez consulter le site Internet de Debian https://www.debian.org/ ou envoyez un courrier électronique à <press@debian.org>.