Cambio della chiave usata per firmare l'archivio Debian

23 Maggio 2009

Il progetto Debian desidera annunciare il cambio della chiave GNU Privacy Guard usata per firmare digitalmente i file di riferimento dell'archivio. Tale firma assicura che i pacchetti installati dagli utenti siano realmente preparati dal progetto Debian e che non siano stati modificati o falsificati.

Le distribuzioni Debian influenzate sono il ramo unstable (nome in codice Sid) e il ramo testing (nome in codice Squeeze). Anche le firme fatte da ftpmater per l'attuale versione stabile Debian GNU/Linux 5.0 (nome in codice Lenny) e per la sua versione precedente Debian GNU/Linux 4.0 (nome in codice Etch) verranno aggiornate. Le firme dei release manager non verranno modificate. La chiave attualmente utilizzata scadrà tra poco, la nuova chiave è stata già distribuita tramite il pacchetto debian-archive-keyring. Agli utenti della distribuzione stabile Debian GNU/Linux 5.0 (nome in codice Lenny) non è richiesta alcuna operazione dato che Debian GNU/Linux 5.0 è stata rilasciata con la nuova chiave. Invece gli utenti della precedente distribuzione stabile Debian GNU/Linux 4.0 (nome in codice Etch) dovrebbero aggiornare la loro distribuzione all'ultimo rilascio minore 4.0r8 che contiene un versione aggiornata del pacchetto con la nuova chiave. Gli utenti dei rami testing (nome in codice Squeeze) e unstable (nome in codice Sid) devono assicurarsi che sia installata la versione 2009.01.31 del pacchetto debian-archive-keyring.

A partire dall'aggiornamento dei mirror di questa sera e per le prossime tre settimane l'archivio sarà firmato con entrambe le chiavi. Dal 13 giugno verrà usata solo la nuova chiave.

Come riferimento, la vecchia chiave è:

  pub   1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
  uid                  Debian Archive Automatic Signing Key (4.0/etch) <ftpmaster@debian.org>

e quella nuova è:

  pub   4096R/55BE302B 2009-01-27 [expires: 2012-12-31]
  uid                  Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>

Questa sostituzione delle chiavi rientra è una delle normali attività di manutenzione ed è iniziata nel gennaio scorso. Per ragioni di sicurezza, le chiavi con cui è firmato l'archivio Debian scadono dopo tre anni.

A proposito di Debian

Il Progetto Debian è una organizzazione di sviluppatori di software libero che volontariamente offrono il loro tempo e il loro lavoro e collaborano via Internet. I loro compiti comprendono la gestione e l'aggiornamento di Debian GNU/Linux, una distribuzione libera del sistema operativo GNU/Linux. La dedizione di Debian al Software Libero, la sua natura no-profit ed il suo modello di sviluppo aperto la rendono unica tra le distribuzioni GNU/Linux.

Come contattarci

Per ulteriori informazioni, visitare le pagine web Debian http://www.debian.org/ oppure scrivere una email a <press@debian.org>.