[devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1.1: Type: text/plain, Size: 623 bytes --]

Здравствуйте.

  Что странное (с моей колокольни) у нас происходит:

  Пакет php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm не может попасть на
сборку -- upravdom@ ругается на:

Possible reason follows:
/.in/php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm: rpmsign failed
ERROR: you have problems with package signatures

  Но:

1. В alt-gpgkeys-0.4.1-alt5 мой ключ есть (вчера проверил).

2. .rpmmacros не менялся с мая прошлого года...

$ cat .rpmmacros
...
%_gpg_name      0x84147704
%_signature     gpg
%_gpg_path      %homedir/.gnupg
...

  В общем -- прошу помощи...

-- 

С уважением. Алексей.



[-- Attachment #1.2: signature.asc --]
[-- Type: application/pgp-signature, Size: 551 bytes --]

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... ( Или что в консерватории изменилось? )

[Epiphanov Sergei]

В сообщении от Tuesday 04 July 2006 14:55 Aleksey Avdeev написал(a):
> Possible reason follows:
> /.in/php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm: rpmsign failed
> ERROR: you have problems with package signatures

Ключ не устарел?

-- 
С уважением, Епифанов Сергей

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Alexey Gladkov]

Aleksey Avdeev пишет:
> Здравствуйте.
> 
>   Что странное (с моей колокольни) у нас происходит:
> 
>   Пакет php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm не может попасть на
> сборку -- upravdom@ ругается на:
> 
> Possible reason follows:
> /.in/php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm: rpmsign failed
> ERROR: you have problems with package signatures
> 
>   Но:
> 
> 1. В alt-gpgkeys-0.4.1-alt5 мой ключ есть (вчера проверил).

$ rpmsign -Kv php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm
php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm:
MD5 sum OK: 2d5cabc0241edfd781f6e701c8d533a4
gpg: Signature made Mon Jul  3 19:33:58 2006 MSD using RSA key ID 455F827A
gpg: Can't check signature: public key not found
$ rpmquery alt-gpgkeys
alt-gpgkeys-0.4.1-alt5
$

-- 
Rgrds, legion

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Andrei Bulava]

Aleksey Avdeev wrote:
> Здравствуйте.
> 
>   Что странное (с моей колокольни) у нас происходит:
> 
>   Пакет php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm не может попасть на
> сборку -- upravdom@ ругается на:
> 
> Possible reason follows:
> /.in/php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm: rpmsign failed
> ERROR: you have problems with package signatures
> 
>   Но:

> $ cat .rpmmacros
> ...
> %_gpg_name      0x84147704

>   В общем -- прошу помощи...

Странный у вас ключ:

$ gpg --keyring /usr/lib/alt-gpgkeys/pubring.gpg --no-default-keyring
--list-keys 84147704
pub   2048R/84147704 2004-01-26
uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.ru>
uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.org>

Почему вдруг RSA, а не DSA, как у всех?

-- 
// AB1002-UANIC

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Andrei Bulava]

Alexey Gladkov wrote:
> Aleksey Avdeev пишет:

>> 1. В alt-gpgkeys-0.4.1-alt5 мой ключ есть (вчера проверил).
> 
> $ rpmsign -Kv php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm
> php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm:
> MD5 sum OK: 2d5cabc0241edfd781f6e701c8d533a4
> gpg: Signature made Mon Jul  3 19:33:58 2006 MSD using RSA key ID 455F827A
> gpg: Can't check signature: public key not found
> $ rpmquery alt-gpgkeys
> alt-gpgkeys-0.4.1-alt5
> $

То-то мне не понравился ключ RSA, "using RSA key ID 455F827A". Для
подписи использовался не тот ключ, что используется при проверке:
455F827A против 84147704.

-- 
// AB1002-UANIC

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1309 bytes --]

Andrei Bulava пишет:
> Alexey Gladkov wrote:
> 
>>Aleksey Avdeev пишет:
> 
> 
>>>1. В alt-gpgkeys-0.4.1-alt5 мой ключ есть (вчера проверил).
>>
>>$ rpmsign -Kv php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm
>>php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm:
>>MD5 sum OK: 2d5cabc0241edfd781f6e701c8d533a4
>>gpg: Signature made Mon Jul  3 19:33:58 2006 MSD using RSA key ID 455F827A
>>gpg: Can't check signature: public key not found
>>$ rpmquery alt-gpgkeys
>>alt-gpgkeys-0.4.1-alt5
>>$
> 
> 
> То-то мне не понравился ключ RSA, "using RSA key ID 455F827A". Для
> подписи использовался не тот ключ, что используется при проверке:
> 455F827A против 84147704.
> 

  84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
подключи используемые для подписи/шифрования. На данный момент (если
запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).

  Судя по документации к gpg -- такая конфигурация корректна. Если
ошибаюсь -- прошу объяснить в чём именно.

PS: apache2, подписанный подобным же образом, был нормально собран 1
апреля 2006 (судя по <http://alt.linux.kiev.ua/srpm/apache2>).

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Andrei Bulava]

Aleksey Avdeev wrote:
> Andrei Bulava пишет:
>> Alexey Gladkov wrote:
>>
>>> Aleksey Avdeev пишет:
>>
>>>> 1. В alt-gpgkeys-0.4.1-alt5 мой ключ есть (вчера проверил).
>>> $ rpmsign -Kv php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm
>>> php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm:
>>> MD5 sum OK: 2d5cabc0241edfd781f6e701c8d533a4
>>> gpg: Signature made Mon Jul  3 19:33:58 2006 MSD using RSA key ID 455F827A
>>> gpg: Can't check signature: public key not found
>>> $ rpmquery alt-gpgkeys
>>> alt-gpgkeys-0.4.1-alt5
>>> $
>>
>> То-то мне не понравился ключ RSA, "using RSA key ID 455F827A". Для
>> подписи использовался не тот ключ, что используется при проверке:
>> 455F827A против 84147704.
>>
> 
>   84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
> подключи используемые для подписи/шифрования. На данный момент (если
> запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
> 455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
> сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).
> 
>   Судя по документации к gpg -- такая конфигурация корректна. Если
> ошибаюсь -- прошу объяснить в чём именно.

Не ошибаетесь. Но см. ниже.

> PS: apache2, подписанный подобным же образом, был нормально собран 1
> апреля 2006 (судя по <http://alt.linux.kiev.ua/srpm/apache2>).

Это нормально, потому что

$ rpm -q --changelog alt-gpgkeys

<skip />

* Сбт Июн 03 2006 Dmitry V. Levin <ldv@altlinux.org> 0.4.0-alt1

- Split source keyblock on per-key basis.
- Removed all subkeys.
- Updated keys:
    AC93C324 (Igor Zubkov)

Т.е. ldv@ удалил подключи, исходя из предположения, что все мантейнеры
используют для подписи основной ключ. Вот и аукнулось.

P.S. Тема обсуждается в devel@ уже второй раз, ЕМНИП.

-- 
// AB1002-UANIC

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 539 bytes --]

Andrei Bulava пишет:
...
> 
> Это нормально, потому что
> 
> $ rpm -q --changelog alt-gpgkeys
> 
> <skip />
> 
> * Сбт Июн 03 2006 Dmitry V. Levin <ldv@altlinux.org> 0.4.0-alt1
> 
> - Split source keyblock on per-key basis.
...
> 
> Т.е. ldv@ удалил подключи, исходя из предположения, что все мантейнеры
> используют для подписи основной ключ. Вот и аукнулось.

  Может стоит вернуть, как минимум для тех то использует?

> 
> P.S. Тема обсуждается в devel@ уже второй раз, ЕМНИП.
> 

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 696 bytes --]

Andrei Bulava пишет:
> Aleksey Avdeev wrote:
...
> 
>>$ cat .rpmmacros
>>...
>>%_gpg_name      0x84147704
> 
> 
>>  В общем -- прошу помощи...
> 
> 
> Странный у вас ключ:
> 
> $ gpg --keyring /usr/lib/alt-gpgkeys/pubring.gpg --no-default-keyring
> --list-keys 84147704
> pub   2048R/84147704 2004-01-26
> uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.ru>
> uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.org>
> 
> Почему вдруг RSA, а не DSA, как у всех?
> 

  Что-то у меня не работало нормально с 2048 битным DSA ключом... Что
именно -- уже не помню.

  Есть противопоказания к RSA ключам?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Andrei Bulava]

Aleksey Avdeev wrote:
> Andrei Bulava пишет:
>> Aleksey Avdeev wrote:
> ...
>>> $ cat .rpmmacros
>>> ...
>>> %_gpg_name      0x84147704
>>
>>>  В общем -- прошу помощи...
>>
>> Странный у вас ключ:
>>
>> $ gpg --keyring /usr/lib/alt-gpgkeys/pubring.gpg --no-default-keyring
>> --list-keys 84147704
>> pub   2048R/84147704 2004-01-26
>> uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.ru>
>> uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.org>
>>
>> Почему вдруг RSA, а не DSA, как у всех?
>>
> 
>   Что-то у меня не работало нормально с 2048 битным DSA ключом... Что
> именно -- уже не помню.

Гм, насколько я понял из чтения документации по диагонали, то DSA ключи
> 1024 бит - это --enable-dsa2 в gpg(1), там всё и написано.

>   Есть противопоказания к RSA ключам?

Во всяком случае, в http://docs.altlinux.ru/alt/devel/ch02s04.html не
упоминается RSA.

-- 
// AB1002-UANIC

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1351 bytes --]

Andrei Bulava пишет:
> Aleksey Avdeev wrote:
> 
>>Andrei Bulava пишет:
>>
>>>Aleksey Avdeev wrote:
>>
>>...
>>
>>>>$ cat .rpmmacros
>>>>...
>>>>%_gpg_name      0x84147704
>>>
>>>> В общем -- прошу помощи...
>>>
>>>Странный у вас ключ:
>>>
>>>$ gpg --keyring /usr/lib/alt-gpgkeys/pubring.gpg --no-default-keyring
>>>--list-keys 84147704
>>>pub   2048R/84147704 2004-01-26
>>>uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.ru>
>>>uid                  Aleksey Avdeev (ALT Linux Team) <solo@altlinux.org>
>>>
>>>Почему вдруг RSA, а не DSA, как у всех?
>>>
>>
>>  Что-то у меня не работало нормально с 2048 битным DSA ключом... Что
>>именно -- уже не помню.
> 
> 
> Гм, насколько я понял из чтения документации по диагонали, то DSA ключи
> 
>>1024 бит - это --enable-dsa2 в gpg(1), там всё и написано.
> 
> 
>>  Есть противопоказания к RSA ключам?
> 
> 
> Во всяком случае, в http://docs.altlinux.ru/alt/devel/ch02s04.html не
> упоминается RSA.
> 

  Там описан простой случай (из серии "чтобы работало"). Документация на
gnupg -- отдельный труд.

PS: Краткий список русскоязычной (англоязычную -- найти легко)
документации по GPG/PGP:

<http://www.pgpru.com/>

<http://www.uniar.ukrnet.net/tools/GPG/>

<http://www.arh.ru/~zwon/gnupg/faq.ru.html>

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Andrei Bulava]

Aleksey Avdeev wrote:
> Andrei Bulava пишет:
>> Aleksey Avdeev wrote:

>>>  Есть противопоказания к RSA ключам?
>>
>> Во всяком случае, в http://docs.altlinux.ru/alt/devel/ch02s04.html не
>> упоминается RSA.
> 
>   Там описан простой случай (из серии "чтобы работало"). Документация на
> gnupg -- отдельный труд.
> 
> PS: Краткий список русскоязычной (англоязычную -- найти легко)
> документации по GPG/PGP:
> 
> <http://www.pgpru.com/>
> 
> <http://www.uniar.ukrnet.net/tools/GPG/>
> 
> <http://www.arh.ru/~zwon/gnupg/faq.ru.html>

Спасибо, но я - как раз в курсе :-)

Что касается RSA vs. DSA - IMHO, это вопрос организационный, а не
технический, и лежит в той же плоскости, что и GIF vs. PNG.

Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
вернуть subkeys.

-- 
// AB1002-UANIC

Re: [devel] U: New gpg key -- solo.asc (was rpm gpg -- прошу помощи... (Или что в консерватории изменилось?))

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 897 bytes --]

Aleksey Avdeev пишет:
> Andrei Bulava пишет:
> 
>>Alexey Gladkov wrote:
>>
>>
>>>Aleksey Avdeev пишет:
>>
>>
>>>>1. В alt-gpgkeys-0.4.1-alt5 мой ключ есть (вчера проверил).
...
>>
>>То-то мне не понравился ключ RSA, "using RSA key ID 455F827A". Для
>>подписи использовался не тот ключ, что используется при проверке:
>>455F827A против 84147704.
>>
> 
> 
>   84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
> подключи используемые для подписи/шифрования. На данный момент (если
> запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
> 455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
> сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).

  Обновил выложенный solo.asc (incoming:/incoming/Sisyphus/solo.asc):
теперь точно содержит отзывающую подпись для 1218C973.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Stanislav Ievlev]

On Tue, Jul 04, 2006 at 04:54:10PM +0300, Andrei Bulava wrote:
> Aleksey Avdeev wrote:
> > Andrei Bulava пишет:
> >> Aleksey Avdeev wrote:
> 
> >>>  Есть противопоказания к RSA ключам?
> >>
> >> Во всяком случае, в http://docs.altlinux.ru/alt/devel/ch02s04.html не
> >> упоминается RSA.
> > 
> >   Там описан простой случай (из серии "чтобы работало"). Документация на
> > gnupg -- отдельный труд.
> > 
> > PS: Краткий список русскоязычной (англоязычную -- найти легко)
> > документации по GPG/PGP:
> > 
> > <http://www.pgpru.com/>
> > 
> > <http://www.uniar.ukrnet.net/tools/GPG/>
> > 
> > <http://www.arh.ru/~zwon/gnupg/faq.ru.html>
> 
> Спасибо, но я - как раз в курсе :-)
> 
> Что касается RSA vs. DSA - IMHO, это вопрос организационный, а не
> технический, и лежит в той же плоскости, что и GIF vs. PNG.
> 
> Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
> вернуть subkeys.
ldv в отпуске.

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 430 bytes --]

Stanislav Ievlev пишет:
> On Tue, Jul 04, 2006 at 04:54:10PM +0300, Andrei Bulava wrote:
>
...
>>
>>Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
>>вернуть subkeys.
> 
> ldv в отпуске.

  А кто его замещает, по этому вопросу?

PS: В вспомнил что кажется присутствовал физически, когда вопрос выноса
обсуждался в офисе. Не сообразил, что меня коснётся... :-/

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] gpg subkey for signing

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 603 bytes --]

On Wed, Jul 05, 2006 at 11:19:00AM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Tue, Jul 04, 2006 at 04:54:10PM +0300, Andrei Bulava wrote:
[...]
> >>Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
> >>вернуть subkeys.
> > 
> > ldv в отпуске.
> 
>   А кто его замещает, по этому вопросу?

Я попрошу того, "кто его замещает", :)
вернуть тот subkey, который используется для подписи.

Обычно subkey используется для зашифровывания, но существуют и менее
обычные способы использования gpg.
Кто-нибудь ещё использует subkey для подписи?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 626 bytes --]

On Tue, Jul 04, 2006 at 04:24:07PM +0400, Aleksey Avdeev wrote:
[...]
>   84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
> подключи используемые для подписи/шифрования. На данный момент (если
> запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
> 455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
> сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).
> 
>   Судя по документации к gpg -- такая конфигурация корректна. Если
> ошибаюсь -- прошу объяснить в чём именно.

Такая конфигурация корректна.  А в чём её преимущество?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1164 bytes --]

Dmitry V. Levin пишет:
> On Tue, Jul 04, 2006 at 04:24:07PM +0400, Aleksey Avdeev wrote:
> [...]
> 
>>  84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
>>подключи используемые для подписи/шифрования. На данный момент (если
>>запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
>>455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
>>сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).
>>
>>  Судя по документации к gpg -- такая конфигурация корректна. Если
>>ошибаюсь -- прошу объяснить в чём именно.
> 
> 
> Такая конфигурация корректна.  А в чём её преимущество?

  Сложилось впечатление, что это достаточно удобный компромисс между
безопасностью и удобством: С одной стороны -- отсутствует опасность
просрочить основной ключ, а с другой -- ключ используемый для подписи по
факту всётаки меняется. + достаточно просто воспользоваться устаревшим
подключём, если это будет необходимо (например, подписать письмо с новым
подключём).

  Но это всё на уровне смутных ощущений и вольного теорезирования:
слишком мало знаю, опыт покажет.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] gpg subkey for signing

[Anton Farygin]

Dmitry V. Levin wrote:
> On Wed, Jul 05, 2006 at 11:19:00AM +0400, Aleksey Avdeev wrote:
>> Stanislav Ievlev пишет:
>>> On Tue, Jul 04, 2006 at 04:54:10PM +0300, Andrei Bulava wrote:
> [...]
>>>> Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
>>>> вернуть subkeys.
>>> ldv в отпуске.
>>   А кто его замещает, по этому вопросу?
> 
> Я попрошу того, "кто его замещает", :)
> вернуть тот subkey, который используется для подписи.
> 
> Обычно subkey используется для зашифровывания, но существуют и менее
> обычные способы использования gpg.
> Кто-нибудь ещё использует subkey для подписи?

А я бы попросил вернуть subkey's для шифрования всем мантейнерам. Очень 
удобно брать ключи мантейнеров из alt-gpgkeys.

Rgds,
Rider

Re: [devel] gpg subkey for signing

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 375 bytes --]

Anton Farygin пишет:
>> Обычно subkey используется для зашифровывания, но существуют и менее
>> обычные способы использования gpg.
>> Кто-нибудь ещё использует subkey для подписи?
Я собираюсь!.. Не начал только из-за этого изменения.

> А я бы попросил вернуть subkey's для шифрования всем мантейнерам. Очень 
> удобно брать ключи мантейнеров из alt-gpgkeys.

+1


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [devel] gpg subkey for signing

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 777 bytes --]

On Wed, Jul 05, 2006 at 02:18:13PM +0400, Anton Farygin wrote:
> Dmitry V. Levin wrote:
[...]
> > Обычно subkey используется для зашифровывания, но существуют и менее
> > обычные способы использования gpg.
> > Кто-нибудь ещё использует subkey для подписи?
> 
> А я бы попросил вернуть subkey's для шифрования всем мантейнерам. Очень 
> удобно брать ключи мантейнеров из alt-gpgkeys.

На самом деле не очень удобно, ведь alt-gpgkeys это не keyserver и тем
более не PKI.  Например, если ты проверил ключ и подписал его, то не
существует механизма, с помощью которого твоя подпись могла бы попасть в
alt-gpgkeys.  У alt-gpgkeys простая функция - проверять подписи пакетов, и
давайте не будем делать вид что мантейнер alt-gpgkeys это сервер ключей. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1480 bytes --]

On Wed, Jul 05, 2006 at 01:09:24PM +0400, Aleksey Avdeev wrote:
> Dmitry V. Levin пишет:
> > On Tue, Jul 04, 2006 at 04:24:07PM +0400, Aleksey Avdeev wrote:
> > [...]
> > 
> >>  84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
> >>подключи используемые для подписи/шифрования. На данный момент (если
> >>запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
> >>455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
> >>сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).
> >>
> >>  Судя по документации к gpg -- такая конфигурация корректна. Если
> >>ошибаюсь -- прошу объяснить в чём именно.
> > 
> > 
> > Такая конфигурация корректна.  А в чём её преимущество?
> 
>   Сложилось впечатление, что это достаточно удобный компромисс между
> безопасностью и удобством: С одной стороны -- отсутствует опасность
> просрочить основной ключ, а с другой -- ключ используемый для подписи по
> факту всётаки меняется. + достаточно просто воспользоваться устаревшим
> подключём, если это будет необходимо (например, подписать письмо с новым
> подключём).

Срок годности ключей можно продлевать.

Поскольку основной ключ и подключ хранятся вместе и защищены одним
паролем, безопасность от того что их два вместо одного не растёт.

Если вам нужна бОльшая безопасность, сделайте специальный главный ключ для
подписи своих временных ключей, и храните этот ключ в недоступном месте.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] U: rpm gpg -- прошу помощи... (Или что в консерватории изменилось?)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1680 bytes --]

Dmitry V. Levin пишет:
> On Wed, Jul 05, 2006 at 01:09:24PM +0400, Aleksey Avdeev wrote:
> 
>>Dmitry V. Levin пишет:
>>
>>>On Tue, Jul 04, 2006 at 04:24:07PM +0400, Aleksey Avdeev wrote:
>>>[...]
>>>
>>>
>>>> 84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
>>>>подключи используемые для подписи/шифрования. На данный момент (если
>>>>запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
>>>>455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
>>>>сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).
>>>>
>>>> Судя по документации к gpg -- такая конфигурация корректна. Если
>>>>ошибаюсь -- прошу объяснить в чём именно.
>>>
>>>
>>>Такая конфигурация корректна.  А в чём её преимущество?
>>
>>  Сложилось впечатление, что это достаточно удобный компромисс между
>>безопасностью и удобством: С одной стороны -- отсутствует опасность
>>просрочить основной ключ, а с другой -- ключ используемый для подписи по
>>факту всётаки меняется. + достаточно просто воспользоваться устаревшим
>>подключём, если это будет необходимо (например, подписать письмо с новым
>>подключём).
> 
> 
> Срок годности ключей можно продлевать.
> 
> Поскольку основной ключ и подключ хранятся вместе и защищены одним
> паролем, безопасность от того что их два вместо одного не растёт.

  Знаю. Но _показалось_ что данный вариант лучше, чем наиболее простой.

> 
> Если вам нужна бОльшая безопасность, сделайте специальный главный ключ для
> подписи своих временных ключей, и храните этот ключ в недоступном месте.

  Тоже знаю. Но это -- более гимаройный вариант.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

[devel] I: возврат subkey в alt-gpgkeys (was: Re: gpg subkey for signing)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 670 bytes --]

Dmitry V. Levin пишет:
> On Wed, Jul 05, 2006 at 11:19:00AM +0400, Aleksey Avdeev wrote:
> 
...
>>>>Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
>>>>вернуть subkeys.
>>>
>>>ldv в отпуске.
>>
>>  А кто его замещает, по этому вопросу?
> 
> 
> Я попрошу того, "кто его замещает", :)
> вернуть тот subkey, который используется для подписи.

  Пока, обновления alt-gpgkeys не вижу: в сизифе по прежнему
alt-gpgkeys-0.4.1-alt5
(<ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/i586/RPMS.classic/alt-gpgkeys-0.4.1-alt5.i586.rpm>)...

PS: У меня из-за этого php-mcrypt в incoming завис...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

[devel] [JT] Re: gpg subkey for signing

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 357 bytes --]

On Thu, Jul 06, 2006 at 01:06:36PM +0400, Dmitry V. Levin wrote:
> У alt-gpgkeys простая функция - проверять подписи пакетов, и
> давайте не будем делать вид что мантейнер alt-gpgkeys это
> сервер ключей. :)

(рассматривая) Но ведь похож-то как. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys (was: Re: gpg subkey for signing)

[Stanislav Ievlev]

On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
> Dmitry V. Levin пишет:
> > On Wed, Jul 05, 2006 at 11:19:00AM +0400, Aleksey Avdeev wrote:
> > 
> ...
> >>>>Впрочем, мы уходим от темы, а ldv@ никак не комментирует вашу просьбу
> >>>>вернуть subkeys.
> >>>
> >>>ldv в отпуске.
> >>
> >>  А кто его замещает, по этому вопросу?
> > 
> > 
> > Я попрошу того, "кто его замещает", :)
> > вернуть тот subkey, который используется для подписи.
> 
>   Пока, обновления alt-gpgkeys не вижу
Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 809 bytes --]

Stanislav Ievlev пишет:
> On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
> 
>>Dmitry V. Levin пишет:
>>
...
>>>Я попрошу того, "кто его замещает", :)
>>>вернуть тот subkey, который используется для подписи.
>>
>>  Пока, обновления alt-gpgkeys не вижу
> 
> Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
> Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.

  Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
его нужно оставить). Подключ содержится в
incoming:/incoming/Sisyphus/solo.asc

PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
я не знаю.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Fri, Jul 07, 2006 at 06:52:02PM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
> > 
> >>Dmitry V. Levin пишет:
> >>
> ...
> >>>Я попрошу того, "кто его замещает", :)
> >>>вернуть тот subkey, который используется для подписи.
> >>
> >>  Пока, обновления alt-gpgkeys не вижу
> > 
> > Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
> > Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.
> 
>   Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
> его нужно оставить). Подключ содержится в
> incoming:/incoming/Sisyphus/solo.asc
> 
> PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
> отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
> я не знаю.
Угу, тогда следующий вопрос.
Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?

Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
всех остальных подключей в пакет.

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1584 bytes --]

Stanislav Ievlev пишет:
> On Fri, Jul 07, 2006 at 06:52:02PM +0400, Aleksey Avdeev wrote:
> 
>>Stanislav Ievlev пишет:
>>
>>>On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
>>>
>>>
>>>>Dmitry V. Levin пишет:
>>>>
>>
>>...
>>
>>>>>Я попрошу того, "кто его замещает", :)
>>>>>вернуть тот subkey, который используется для подписи.
>>>>
>>>> Пока, обновления alt-gpgkeys не вижу
>>>
>>>Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
>>>Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.
>>
>>  Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
>>его нужно оставить). Подключ содержится в
>>incoming:/incoming/Sisyphus/solo.asc
>>
>>PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
>>отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
>>я не знаю.
> 
> Угу, тогда следующий вопрос.
> Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
> 
> Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
> всех остальных подключей в пакет.

  Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
фотографии -- привязанны к главному ключу), только в данном случаи -- в
нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
времени жизни наложено не на сам паспорт, а на его страницы.)

  Можно вернуть только подключи используемые для подписи пакетов (не
думаю, что их много).

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Grigory Batalov]

On Mon, 10 Jul 2006 13:51:02 +0400
Aleksey Avdeev <solo@solin.spb.ru> wrote:

> > Угу, тогда следующий вопрос.
> > Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
> > 
> > Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
> > всех остальных подключей в пакет.
> 
>   Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
> фотографии -- привязанны к главному ключу), только в данном случаи -- в
> нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
> времени жизни наложено не на сам паспорт, а на его страницы.)

  Продолжая аналогию, раз в 15 лет - новая фотография =).

>   Можно вернуть только подключи используемые для подписи пакетов (не
> думаю, что их много).

-- 
 Григорий Баталов,
 программист
 ЗАО "Ланит-Терком"

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Mon, Jul 10, 2006 at 01:51:02PM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Fri, Jul 07, 2006 at 06:52:02PM +0400, Aleksey Avdeev wrote:
> > 
> >>Stanislav Ievlev пишет:
> >>
> >>>On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
> >>>
> >>>
> >>>>Dmitry V. Levin пишет:
> >>>>
> >>
> >>...
> >>
> >>>>>Я попрошу того, "кто его замещает", :)
> >>>>>вернуть тот subkey, который используется для подписи.
> >>>>
> >>>> Пока, обновления alt-gpgkeys не вижу
> >>>
> >>>Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
> >>>Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.
> >>
> >>  Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
> >>его нужно оставить). Подключ содержится в
> >>incoming:/incoming/Sisyphus/solo.asc
> >>
> >>PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
> >>отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
> >>я не знаю.
> > 
> > Угу, тогда следующий вопрос.
> > Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
> > 
> > Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
> > всех остальных подключей в пакет.
> 
>   Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
> фотографии -- привязанны к главному ключу), только в данном случаи -- в
> нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
> времени жизни наложено не на сам паспорт, а на его страницы.)
> 
>   Можно вернуть только подключи используемые для подписи пакетов (не
> думаю, что их много).
Так их (фотографий в паспорте) всё-таки несколько?
Зачем подписывать пакеты несколькими ключами?

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2507 bytes --]

Stanislav Ievlev пишет:
> On Mon, Jul 10, 2006 at 01:51:02PM +0400, Aleksey Avdeev wrote:
> 
>>Stanislav Ievlev пишет:
>>
>>>On Fri, Jul 07, 2006 at 06:52:02PM +0400, Aleksey Avdeev wrote:
>>>
>>>
>>>>Stanislav Ievlev пишет:
>>>>
>>>>
>>>>>On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
>>>>>
>>>>>
>>>>>
>>>>>>Dmitry V. Levin пишет:
>>>>>>
>>>>
>>>>...
>>>>
>>>>
>>>>>>>Я попрошу того, "кто его замещает", :)
>>>>>>>вернуть тот subkey, который используется для подписи.
>>>>>>
>>>>>>Пока, обновления alt-gpgkeys не вижу
>>>>>
>>>>>Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
>>>>>Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.
>>>>
>>>> Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
>>>>его нужно оставить). Подключ содержится в
>>>>incoming:/incoming/Sisyphus/solo.asc
>>>>
>>>>PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
>>>>отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
>>>>я не знаю.
>>>
>>>Угу, тогда следующий вопрос.
>>>Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
>>>
>>>Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
>>>всех остальных подключей в пакет.
>>
>>  Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
>>фотографии -- привязанны к главному ключу), только в данном случаи -- в
>>нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
>>времени жизни наложено не на сам паспорт, а на его страницы.)
>>
>>  Можно вернуть только подключи используемые для подписи пакетов (не
>>думаю, что их много).
> 
> Так их (фотографий в паспорте) всё-таки несколько?

  Но действующая-то в данный момент 1, последняя.

> Зачем подписывать пакеты несколькими ключами?

  Этого не происходит: используется только 1 подключ: самый свежий. Он и
является действительным. Просроченные/отозванные -- не используются. И,
на мой взгляд, самое вкусное -- за всей этой механикой следит сам gpg.

PS: Нет ли у нас путаницы в терминах ключ/подключ? Моё виденье: подключ
-- часть ключа, допускающая её "горячую" замену (без перегенерации
ключа). Сам по себе (без ключа) подключ -- обессмысленен.

PPS: Конфигурация с более чем одним рабочем подключим возможна, но как
именно с ней работать я сходу не понял (оно мне не требовалось).

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Mon, Jul 10, 2006 at 05:43:05PM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Mon, Jul 10, 2006 at 01:51:02PM +0400, Aleksey Avdeev wrote:
> > 
> >>Stanislav Ievlev пишет:
> >>
> >>>On Fri, Jul 07, 2006 at 06:52:02PM +0400, Aleksey Avdeev wrote:
> >>>
> >>>
> >>>>Stanislav Ievlev пишет:
> >>>>
> >>>>
> >>>>>On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
> >>>>>
> >>>>>
> >>>>>
> >>>>>>Dmitry V. Levin пишет:
> >>>>>>
> >>>>
> >>>>...
> >>>>
> >>>>
> >>>>>>>Я попрошу того, "кто его замещает", :)
> >>>>>>>вернуть тот subkey, который используется для подписи.
> >>>>>>
> >>>>>>Пока, обновления alt-gpgkeys не вижу
> >>>>>
> >>>>>Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
> >>>>>Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.
> >>>>
> >>>> Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
> >>>>его нужно оставить). Подключ содержится в
> >>>>incoming:/incoming/Sisyphus/solo.asc
> >>>>
> >>>>PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
> >>>>отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
> >>>>я не знаю.
> >>>
> >>>Угу, тогда следующий вопрос.
> >>>Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
> >>>
> >>>Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
> >>>всех остальных подключей в пакет.
> >>
> >>  Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
> >>фотографии -- привязанны к главному ключу), только в данном случаи -- в
> >>нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
> >>времени жизни наложено не на сам паспорт, а на его страницы.)
> >>
> >>  Можно вернуть только подключи используемые для подписи пакетов (не
> >>думаю, что их много).
> > 
> > Так их (фотографий в паспорте) всё-таки несколько?
> 
>   Но действующая-то в данный момент 1, последняя.
> 
> > Зачем подписывать пакеты несколькими ключами?
> 
>   Этого не происходит: используется только 1 подключ: самый свежий. Он и
> является действительным. Просроченные/отозванные -- не используются. И,
> на мой взгляд, самое вкусное -- за всей этой механикой следит сам gpg.
В пакете alt-gpgkeys всеми вкусностями занимается мантейнер этого пакета,
Поэтому давайте всё-таки оставим один единственный ключ( или подключ) которым подписываются пакеты. 
Чтобы не мучаться с терминологией - сделаем так как у всех остальных.

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 3341 bytes --]

Stanislav Ievlev пишет:
> On Mon, Jul 10, 2006 at 05:43:05PM +0400, Aleksey Avdeev wrote:
> 
>>Stanislav Ievlev пишет:
>>
>>>On Mon, Jul 10, 2006 at 01:51:02PM +0400, Aleksey Avdeev wrote:
>>>
>>>>Stanislav Ievlev пишет:
>>>>
>>>>>On Fri, Jul 07, 2006 at 06:52:02PM +0400, Aleksey Avdeev wrote:
>>>>>
>>>>>>Stanislav Ievlev пишет:
>>>>>>
>>>>>>>On Fri, Jul 07, 2006 at 04:41:40PM +0400, Aleksey Avdeev wrote:
>>>>>>>
>>>>>>>>Dmitry V. Levin пишет:
>>>>>>>>
...
>>>>>>>>>Я попрошу того, "кто его замещает", :)
>>>>>>>>>вернуть тот subkey, который используется для подписи.
>>>>>>>>
>>>>>>>>Пока, обновления alt-gpgkeys не вижу
>>>>>>>
>>>>>>>Я просто не понял что надо сделать: добавить второй ключ, или заменить один на другой?
>>>>>>>Во втором случае пожайлуста сообщие точные идентификаторы с какого и на какой надо изменить.
>>>>>>
>>>>>>Добавить подключ 455F827A (сам ключ, 84147704 -- в пакете уже есть,
>>>>>>его нужно оставить). Подключ содержится в
>>>>>>incoming:/incoming/Sisyphus/solo.asc
>>>>>>
>>>>>>PS: Там же (в incoming:/incoming/Sisyphus/solo.asc) содержится и
>>>>>>отзывающая подпись для подключа 1218C973. Стоит ли её класть в пакет --
>>>>>>я не знаю.
>>>>>
>>>>>Угу, тогда следующий вопрос.
>>>>>Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
>>>>>
>>>>>Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
>>>>>всех остальных подключей в пакет.
>>>>
>>>> Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
>>>>фотографии -- привязанны к главному ключу), только в данном случаи -- в
>>>>нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
>>>>времени жизни наложено не на сам паспорт, а на его страницы.)
>>>>
>>>> Можно вернуть только подключи используемые для подписи пакетов (не
>>>>думаю, что их много).
>>>
>>>Так их (фотографий в паспорте) всё-таки несколько?
>>
>>  Но действующая-то в данный момент 1, последняя.
>>
>>
>>>Зачем подписывать пакеты несколькими ключами?
>>
>>  Этого не происходит: используется только 1 подключ: самый свежий. Он и
>>является действительным. Просроченные/отозванные -- не используются. И,
>>на мой взгляд, самое вкусное -- за всей этой механикой следит сам gpg.
> 
> В пакете alt-gpgkeys всеми вкусностями занимается мантейнер этого пакета,
> Поэтому давайте всё-таки оставим один единственный ключ( или подключ) которым подписываются пакеты.

  Единственный подключ -- оставить можно, но только в составе ключа (они
друг без друга существовать не могут). (Прошу добавить 455F827A, в
составе 84147704.)

  Я не против удаления из пакета устаревших/неиспользуемых/отозванных
подключей: резоны к такому удалению есть (и я их вижу). Но оставить
используемые -- думаю стоит (не вижу резонов ломать, что работает).

> Чтобы не мучаться с терминологией - сделаем так как у всех остальных.

  Для меня -- возврат к умолчальной схеме вызовет необходимость
перегенерации ключа, со всеми вытекающими... Не хотелось бы городить
зоопарк ключей, без логично замотивированой необходимости.

  В любом случаи, это необходимо отразить в документации: у новых
мантейнеров могут быть уже сгенирированые (и используемые в других
местах) ключи. И кто знает, как именно они сгенерены.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Andrei Bulava]

Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:

>> Чтобы не мучаться с терминологией - сделаем так как у всех остальных.
> 
>   Для меня -- возврат к умолчальной схеме вызовет необходимость
> перегенерации ключа, со всеми вытекающими... Не хотелось бы городить
> зоопарк ключей, без логично замотивированой необходимости.
> 
>   В любом случаи, это необходимо отразить в документации: у новых
> мантейнеров могут быть уже сгенирированые (и используемые в других
> местах) ключи. И кто знает, как именно они сгенерены.

Это не только в документации отразить нужно, но и в процессе приёма
ключей от мантейнеров. IMHO, эта проверка достаточно легко скриптуется:
на пришедший ключ напустить того маньяка ;-) что повыкидывал subkeys, а
потом проверить подпись тестового пакета.

P.S. Вот и "алогично замотивированная необходимость" :-)

P.P.S. Вообще, концепция PGP/GPG ключей и PKI довольно интересно ложится
на неэлектронную реальность. Уже и паспорты с фотографиями вспоминали.
Ну, тогда, продолжая "паспортную" аналогию: у меня есть гражданский
паспорт Украины, но для поездки, к примеру, во Францию, он не годится.
Человек - один, фотография - и та может быть одна. А паспортов - два.
Разные организационные порядки - разные удостоверения личности.

-- 
// AB1002-UANIC

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 766 bytes --]

Andrei Bulava пишет:
...
> 
> P.P.S. Вообще, концепция PGP/GPG ключей и PKI довольно интересно ложится
> на неэлектронную реальность. Уже и паспорты с фотографиями вспоминали.
> Ну, тогда, продолжая "паспортную" аналогию: у меня есть гражданский
> паспорт Украины, но для поездки, к примеру, во Францию, он не годится.
> Человек - один, фотография - и та может быть одна. А паспортов - два.
> Разные организационные порядки - разные удостоверения личности.
> 

  Да.

  При отображении на ключи -- это 2 ключа, используемые для разных
целей. И +- здесь достаточно чётко совпадают: с одной стороны
хранить/оберегать/поддерживать приходится 2 паспорта/ключа, с другой --
утрата одного из них меньше выйдет боком. ;-)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Tue, Jul 11, 2006 at 03:54:51PM +0300, Andrei Bulava wrote:
> Aleksey Avdeev wrote:
> > Stanislav Ievlev пишет:
> 
> >> Чтобы не мучаться с терминологией - сделаем так как у всех остальных.
> > 
> >   Для меня -- возврат к умолчальной схеме вызовет необходимость
> > перегенерации ключа, со всеми вытекающими... Не хотелось бы городить
> > зоопарк ключей, без логично замотивированой необходимости.
> > 
> >   В любом случаи, это необходимо отразить в документации: у новых
> > мантейнеров могут быть уже сгенирированые (и используемые в других
> > местах) ключи. И кто знает, как именно они сгенерены.
> 
> Это не только в документации отразить нужно, но и в процессе приёма
> ключей от мантейнеров. IMHO, эта проверка достаточно легко скриптуется:
> на пришедший ключ напустить того маньяка ;-) что повыкидывал subkeys, а
> потом проверить подпись тестового пакета.
> 
> P.S. Вот и "алогично замотивированная необходимость" :-)
> 
> P.P.S. Вообще, концепция PGP/GPG ключей и PKI довольно интересно ложится
> на неэлектронную реальность. Уже и паспорты с фотографиями вспоминали.
> Ну, тогда, продолжая "паспортную" аналогию: у меня есть гражданский
> паспорт Украины, но для поездки, к примеру, во Францию, он не годится.
Это у нас не годится. А в других государствах один единственный паспорт на
все случаи жизни - геммороя на порядок меньше ;)

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Tue, Jul 11, 2006 at 03:00:44PM +0400, Aleksey Avdeev wrote:
> >>>>>
> >>>>>Угу, тогда следующий вопрос.
> >>>>>Ключ есть эдакий виртуальный "паспорт" мантейнера. Спрашивается, зачем нужно два паспорта?
> >>>>>
> >>>>>Я считаю что это только вносит путаницу и создаёт прецедент на возвращение
> >>>>>всех остальных подключей в пакет.
> >>>>
> >>>> Паспорт по прежнему 1 (все атрибуты, такие как альтернативные адреса и
> >>>>фотографии -- привязанны к главному ключу), только в данном случаи -- в
> >>>>нём есть страницы с ограниченным временем жизни. (Т. е., ограничение
> >>>>времени жизни наложено не на сам паспорт, а на его страницы.)
> >>>>
> >>>> Можно вернуть только подключи используемые для подписи пакетов (не
> >>>>думаю, что их много).
> >>>
> >>>Так их (фотографий в паспорте) всё-таки несколько?
> >>
> >>  Но действующая-то в данный момент 1, последняя.
> >>
> >>
> >>>Зачем подписывать пакеты несколькими ключами?
> >>
> >>  Этого не происходит: используется только 1 подключ: самый свежий. Он и
> >>является действительным. Просроченные/отозванные -- не используются. И,
> >>на мой взгляд, самое вкусное -- за всей этой механикой следит сам gpg.
> > 
> > В пакете alt-gpgkeys всеми вкусностями занимается мантейнер этого пакета,
> > Поэтому давайте всё-таки оставим один единственный ключ( или подключ) которым подписываются пакеты.
> 
>   Единственный подключ -- оставить можно, но только в составе ключа (они
> друг без друга существовать не могут). (Прошу добавить 455F827A, в
> составе 84147704.)
> 
>   Я не против удаления из пакета устаревших/неиспользуемых/отозванных
> подключей: резоны к такому удалению есть (и я их вижу). Но оставить
> используемые -- думаю стоит (не вижу резонов ломать, что работает).
Уфф ... пусть главный по ключам решает.

Я при всём желании не понимаю как мы будем разъяснять всем какие ключи
можно дополнительно делать, а какие нельзя. 

Также я считаю, что следует разделять keyserver, PKI и прочие модные штучки 
и простой служебный пакет.
Уж если на то пошло и мы хотим получить полный бонус от gpg, то надо не в пакете 
хранить всё, а поднять свой keyserver.

Если кому-то будет сделано исключение на его subkey, то непонимаю почему мы должны
будем отказывать другим.

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1773 bytes --]

Stanislav Ievlev пишет:
> On Tue, Jul 11, 2006 at 03:00:44PM +0400, Aleksey Avdeev wrote:
> 
...
>>>
>>>В пакете alt-gpgkeys всеми вкусностями занимается мантейнер этого пакета,
>>>Поэтому давайте всё-таки оставим один единственный ключ( или подключ) которым подписываются пакеты.
>>
>>  Единственный подключ -- оставить можно, но только в составе ключа (они
>>друг без друга существовать не могут). (Прошу добавить 455F827A, в
>>составе 84147704.)
>>
>>  Я не против удаления из пакета устаревших/неиспользуемых/отозванных
>>подключей: резоны к такому удалению есть (и я их вижу). Но оставить
>>используемые -- думаю стоит (не вижу резонов ломать, что работает).
> 
> Уфф ... пусть главный по ключам решает.

  Если имеется в виду ldv@, то не является ли разрешением это:
<http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)

> 
> Я при всём желании не понимаю как мы будем разъяснять всем какие ключи
> можно дополнительно делать, а какие нельзя. 
> 
> Также я считаю, что следует разделять keyserver, PKI и прочие модные штучки 
> и простой служебный пакет.

  +1

  Но при этом, данный служебный пакет должен обеспечивать пропуск
корректно подписанных (с точки зрения gpg) мантейнерами пакетов.

> Уж если на то пошло и мы хотим получить полный бонус от gpg, то надо не в пакете 
> хранить всё, а поднять свой keyserver.

  +1

> 
> Если кому-то будет сделано исключение на его subkey, то непонимаю почему мы должны
> будем отказывать другим.

  Как показывает практика (смотрю свою коллекцию открытых ключей) --
subkey используется редко.

  Думаю, достаточно наложить ограничение, что в пакет будут попадать
только key/subkey реально используемые для подписи пакетов.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Wednesday 12 July 2006 11:58 Aleksey Avdeev написал(a):
>   Думаю, достаточно наложить ограничение, что в пакет будут попадать
> только key/subkey реально используемые для подписи пакетов.

Не пройдёт. Например, истекает подключ (или скомпрометирован), он удаляется 
из пакета, но мантейнер генерит новый подключ, который выдаёт в incoming. Но 
раз пока нет пакетов, подписанных этим подключом, этот подключ будет 
выброшен. И в конце концов снова получим ключи без подключей.

-- 
С уважением, Епифанов Сергей

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 735 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Wednesday 12 July 2006 11:58 Aleksey Avdeev написал(a):
> 
>>  Думаю, достаточно наложить ограничение, что в пакет будут попадать
>>только key/subkey реально используемые для подписи пакетов.
                    ^^^^^^^^^^^^^^^^^^^^
> 
> Не пройдёт. Например, истекает подключ (или скомпрометирован), он удаляется 
> из пакета, но мантейнер генерит новый подключ, который выдаёт в incoming. Но 
> раз пока нет пакетов, подписанных этим подключом, этот подключ будет 
> выброшен. И в конце концов снова получим ключи без подключей.

  А если выделенное выше поправить на "реально используемые и/или
планируемые к использованию в ближайшее время"?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Wednesday 12 July 2006 12:22 Aleksey Avdeev написал(a):
> Epiphanov Sergei пишет:
> > В сообщении от Wednesday 12 July 2006 11:58 Aleksey Avdeev написал(a):
> >>  Думаю, достаточно наложить ограничение, что в пакет будут попадать
> >>только key/subkey реально используемые для подписи пакетов.
>
>                     ^^^^^^^^^^^^^^^^^^^^
>
> > Не пройдёт. Например, истекает подключ (или скомпрометирован), он
> > удаляется из пакета, но мантейнер генерит новый подключ, который выдаёт
> > в incoming. Но раз пока нет пакетов, подписанных этим подключом, этот
> > подключ будет выброшен. И в конце концов снова получим ключи без
> > подключей.
>
>   А если выделенное выше поправить на "реально используемые и/или
> планируемые к использованию в ближайшее время"?

А что значит "ближайшее время"? Я, например, выкладываю пакеты когда есть 
необходимость, что наблюдается где-то раз в полгода (или после неожиданной 
трёх- или четырёхмесячной командировки). Длинноватое какое-то это "время". А 
за этот период планы могут поменяться (например, ввести ещё один подключ по 
каким-то причинам, а прошлый использовать в другом месте). Тогда уж или все 
подключи удалить, или затолкать всё подключи в ключ без ограничений (из тех, 
что были присланы мантейнером). И всё из-за того, что это планирование не 
очень поддаётся механизации.

И если уж говорить про безопасность самого ключа. Кто мешает сгенерировать 
ещё один КЛЮЧ, не связанный с исходным и его использовать ТОЛЬКО для подписи 
пакетов. И если он будет скомпрометирован, то исходный ключ будет сохранён. 
Почему все привязаны к идеологии "один ключ - много подключей", если можно 
задействовать другую: "много ключей"? Вроде, руки не связаны. Лично у меня 
так.

-- 
С уважением, Епифанов Сергей

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2503 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Wednesday 12 July 2006 12:22 Aleksey Avdeev написал(a):
> 
>>Epiphanov Sergei пишет:
>>
>>>В сообщении от Wednesday 12 July 2006 11:58 Aleksey Avdeev написал(a):
>>>
>>>> Думаю, достаточно наложить ограничение, что в пакет будут попадать
>>>>только key/subkey реально используемые для подписи пакетов.
>>
>>                    ^^^^^^^^^^^^^^^^^^^^
>>
>>
>>>Не пройдёт. Например, истекает подключ (или скомпрометирован), он
>>>удаляется из пакета, но мантейнер генерит новый подключ, который выдаёт
>>>в incoming. Но раз пока нет пакетов, подписанных этим подключом, этот
>>>подключ будет выброшен. И в конце концов снова получим ключи без
>>>подключей.
>>
>>  А если выделенное выше поправить на "реально используемые и/или
>>планируемые к использованию в ближайшее время"?
> 
> 
> А что значит "ближайшее время"? Я, например, выкладываю пакеты когда есть 
> необходимость, что наблюдается где-то раз в полгода (или после неожиданной 
> трёх- или четырёхмесячной командировки). Длинноватое какое-то это "время". А 
> за этот период планы могут поменяться (например, ввести ещё один подключ по 
> каким-то причинам, а прошлый использовать в другом месте). Тогда уж или все 
> подключи удалить, или затолкать всё подключи в ключ без ограничений (из тех, 
> что были присланы мантейнером). И всё из-за того, что это планирование не 
> очень поддаётся механизации.
> 
> И если уж говорить про безопасность самого ключа. Кто мешает сгенерировать 
> ещё один КЛЮЧ, не связанный с исходным и его использовать ТОЛЬКО для подписи 
> пакетов. И если он будет скомпрометирован, то исходный ключ будет сохранён. 
> Почему все привязаны к идеологии "один ключ - много подключей", если можно 
> задействовать другую: "много ключей"? Вроде, руки не связаны. Лично у меня 
> так.

  Теоретически -- ничего не мешает. (И я не предлагаю ломать эту схему.)
Практически -- мне это не слишком удобно: начинал с такой схемы, но
умудрился в ключах запутаться... (Разруха она в головах, в данном случаи
-- в моей: мне проще иметь одни надёжные, походные, всепогодные ботинки,
чем каждый раз думать, какие будут погода и грунт на маршруте.)

  Просто, т. к. gpg допускает схему с подключами -- она должна работать
и для подписи пакетов. Иначе придётся как минимум её неработоспособность
у нас документировать. (И, возможно -- объяснять неработоспособность
подключай тем, кому их ненужность не очевидна.)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Wednesday 12 July 2006 12:59 Aleksey Avdeev написал(a):
>   Теоретически -- ничего не мешает. (И я не предлагаю ломать эту схему.)
> Практически -- мне это не слишком удобно: начинал с такой схемы, но
> умудрился в ключах запутаться... (Разруха она в головах, в данном случаи
> -- в моей: мне проще иметь одни надёжные, походные, всепогодные ботинки,
> чем каждый раз думать, какие будут погода и грунт на маршруте.)

Аналогично будет и с подключами (аналогия: надеть галоши для луж, обёртки при 
входе в здание, ...). Так что надо лечить не следствие, а причину.

>   Просто, т. к. gpg допускает схему с подключами -- она должна работать
> и для подписи пакетов. Иначе придётся как минимум её неработоспособность
> у нас документировать. (И, возможно -- объяснять неработоспособность
> подключай тем, кому их ненужность не очевидна.)

Можно сказать по другому - внести в полиси для мантейнеров требование об 
использовании только ключей для подписи пакета. Мы же не обязаны выполнять 
все требования gpg. Также, как сейчас идёт переход на git, хотя нечто 
подобное можно сделать на svn, cvs. Точно такое же требование. Висят же на 
некоторых дверях "вход запрещён" и никто посторонний туда не входит, хотя 
технически возможно.

-- 
С уважением, Епифанов Сергей

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1827 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Wednesday 12 July 2006 12:59 Aleksey Avdeev написал(a):
> 
>>  Теоретически -- ничего не мешает. (И я не предлагаю ломать эту схему.)
>>Практически -- мне это не слишком удобно: начинал с такой схемы, но
>>умудрился в ключах запутаться... (Разруха она в головах, в данном случаи
>>-- в моей: мне проще иметь одни надёжные, походные, всепогодные ботинки,
>>чем каждый раз думать, какие будут погода и грунт на маршруте.)
> 
> 
> Аналогично будет и с подключами (аналогия: надеть галоши для луж, обёртки при 
                                             ^^^^^^^^^^^^^^^^^^^^^^
> входе в здание, ...).

  Ну, выделенное не требуется: говорил о _хороших_ ботинках. :-)

> Так что надо лечить не следствие, а причину.
> 
> 
>>  Просто, т. к. gpg допускает схему с подключами -- она должна работать
>>и для подписи пакетов. Иначе придётся как минимум её неработоспособность
>>у нас документировать. (И, возможно -- объяснять неработоспособность
>>подключай тем, кому их ненужность не очевидна.)
> 
> 
> Можно сказать по другому - внести в полиси для мантейнеров требование об 
> использовании только ключей для подписи пакета. Мы же не обязаны выполнять 
> все требования gpg. Также, как сейчас идёт переход на git, хотя нечто 
> подобное можно сделать на svn, cvs. Точно такое же требование. Висят же на 
> некоторых дверях "вход запрещён" и никто посторонний туда не входит, хотя 
> технически возможно.

  Не вижу серьёзных и обоснованных причин для данного требования:
идентификацию подписавшего обеспечивает любая из поддерживаемых gpg
схем. Почему предпочтение отдаётся только одной из них? (Пример с git,
svn и cvs не подходит: существенно разные вещи, с точки зрения
взаимодействия с репозитарием/его поддержки.)

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Wednesday 12 July 2006 14:12 Aleksey Avdeev написал(a):
> Epiphanov Sergei пишет:
> > В сообщении от Wednesday 12 July 2006 12:59 Aleksey Avdeev написал(a):
> >>  Теоретически -- ничего не мешает. (И я не предлагаю ломать эту схему.)
> >>Практически -- мне это не слишком удобно: начинал с такой схемы, но
> >>умудрился в ключах запутаться... (Разруха она в головах, в данном случаи
> >>-- в моей: мне проще иметь одни надёжные, походные, всепогодные ботинки,
> >>чем каждый раз думать, какие будут погода и грунт на маршруте.)
> >
> > Аналогично будет и с подключами (аналогия: надеть галоши для луж,
> > обёртки при
>
>                                              ^^^^^^^^^^^^^^^^^^^^^^
>
> > входе в здание, ...).
>
>   Ну, выделенное не требуется: говорил о _хороших_ ботинках. :-)

Всё равно , у нас в поликлиннике, в музее требуется надевать бахилы даже на 
самые распрекрасные ботинки.

> > Так что надо лечить не следствие, а причину.
> >
> >>  Просто, т. к. gpg допускает схему с подключами -- она должна работать
> >>и для подписи пакетов. Иначе придётся как минимум её неработоспособность
> >>у нас документировать. (И, возможно -- объяснять неработоспособность
> >>подключай тем, кому их ненужность не очевидна.)
> >
> > Можно сказать по другому - внести в полиси для мантейнеров требование об
> > использовании только ключей для подписи пакета. Мы же не обязаны
> > выполнять все требования gpg. Также, как сейчас идёт переход на git,
> > хотя нечто подобное можно сделать на svn, cvs. Точно такое же
> > требование. Висят же на некоторых дверях "вход запрещён" и никто
> > посторонний туда не входит, хотя технически возможно.
>
>   Не вижу серьёзных и обоснованных причин для данного требования:
> идентификацию подписавшего обеспечивает любая из поддерживаемых gpg
> схем. Почему предпочтение отдаётся только одной из них? (Пример с git,
> svn и cvs не подходит: существенно разные вещи, с точки зрения
> взаимодействия с репозитарием/его поддержки.)

Это называется "Потому что". Когда написано "делать и так", придётся так и 
делать независимо по какой причине. Хорошо. Если Вам не нравится git в 
сравнении с svn и cvs, возьмём другую аналогию: требование выкладывать в git 
только в определённом порядке и, скорее всего, формировать необходимые 
действия только через gear. А почему не в другом порядке, не в других 
каталогах? Мне же будет удобнее их по другому называть. Где здесь 
обоснованная причина? Ясно же - унификация. Точно также и ключами: 
унификация. Зачем тысячу схем, ежели можно обойтись одной?

-- 
С уважением, Епифанов Сергей

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Tue, Jul 11, 2006 at 03:00:44PM +0400, Aleksey Avdeev wrote:
> > 
> ...
> >>>
> >>>В пакете alt-gpgkeys всеми вкусностями занимается мантейнер этого пакета,
> >>>Поэтому давайте всё-таки оставим один единственный ключ( или подключ) которым подписываются пакеты.
> >>
> >>  Единственный подключ -- оставить можно, но только в составе ключа (они
> >>друг без друга существовать не могут). (Прошу добавить 455F827A, в
> >>составе 84147704.)
> >>
> >>  Я не против удаления из пакета устаревших/неиспользуемых/отозванных
> >>подключей: резоны к такому удалению есть (и я их вижу). Но оставить
> >>используемые -- думаю стоит (не вижу резонов ломать, что работает).
> > 
> > Уфф ... пусть главный по ключам решает.
> 
>   Если имеется в виду ldv@, то не является ли разрешением это:
> <http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.
> 
>   Как показывает практика (смотрю свою коллекцию открытых ключей) --
> subkey используется редко.
> 
>   Думаю, достаточно наложить ограничение, что в пакет будут попадать
> только key/subkey реально используемые для подписи пакетов.
А как это проверить?

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Wednesday 12 July 2006 14:12 Aleksey Avdeev написал(a):
>   Не вижу серьёзных и обоснованных причин для данного требования:
> идентификацию подписавшего обеспечивает любая из поддерживаемых gpg
> схем. Почему предпочтение отдаётся только одной из них? (Пример с git,
> svn и cvs не подходит: существенно разные вещи, с точки зрения
> взаимодействия с репозитарием/его поддержки.)

Кстати, есть ещё пример. У нас есть incoming@. Сейчас через него идут 
src.rpm. А через некоторое время этого не будет и всё пойдёт через git. Мне 
git ещё осваивать и осваивать, а времени нет. Мне удобнее src.rpm выложить и 
всё. Но придётся переходить на git. Потому что "так положено" и ничего с 
этим не сделать. Знаете "бритву Оккама"?

-- 
С уважением, Епифанов Сергей

Re: [devel] I: возврат subkey в alt-gpgkeys

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 525 bytes --]

Stanislav Ievlev writes:

>>   Думаю, достаточно наложить ограничение, что в пакет будут попадать
>> только key/subkey реально используемые для подписи пакетов.
> А как это проверить?

Вроде без проблем.
Последний по дате подключ для подписи с uid @altlinux
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 780 bytes --]

Stanislav Ievlev пишет:
> On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
> 
>>Stanislav Ievlev пишет:
>>
...
>>>Уфф ... пусть главный по ключам решает.
>>
>>  Если имеется в виду ldv@, то не является ли разрешением это:
>><http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
> 
> Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.

  OK, ждём. (Только с 12 августа, я 2 недели без сети буду, скорее всего.)

> 
>>  Как показывает практика (смотрю свою коллекцию открытых ключей) --
>>subkey используется редко.
>>
>>  Думаю, достаточно наложить ограничение, что в пакет будут попадать
>>только key/subkey реально используемые для подписи пакетов.
> 
> А как это проверить?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 399 bytes --]

Maxim Tyurin пишет:
> Stanislav Ievlev writes:
> 
> 
>>>  Думаю, достаточно наложить ограничение, что в пакет будут попадать
>>>только key/subkey реально используемые для подписи пакетов.
>>
>>А как это проверить?
> 
> 
> Вроде без проблем.
> Последний по дате подключ для подписи с uid @altlinux

  +1

  Похоже подобной проверки будет достаточно.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 3637 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Wednesday 12 July 2006 14:12 Aleksey Avdeev написал(a):
> 
>>Epiphanov Sergei пишет:
>>
>>>В сообщении от Wednesday 12 July 2006 12:59 Aleksey Avdeev написал(a):
>>>
>>>> Теоретически -- ничего не мешает. (И я не предлагаю ломать эту схему.)
>>>>Практически -- мне это не слишком удобно: начинал с такой схемы, но
>>>>умудрился в ключах запутаться... (Разруха она в головах, в данном случаи
>>>>-- в моей: мне проще иметь одни надёжные, походные, всепогодные ботинки,
>>>>чем каждый раз думать, какие будут погода и грунт на маршруте.)
>>>
>>>Аналогично будет и с подключами (аналогия: надеть галоши для луж,
>>>обёртки при
>>
>>                                             ^^^^^^^^^^^^^^^^^^^^^^
>>
>>
>>>входе в здание, ...).
>>
>>  Ну, выделенное не требуется: говорил о _хороших_ ботинках. :-)
> 
> 
> Всё равно , у нас в поликлиннике, в музее требуется надевать бахилы даже на 
> самые распрекрасные ботинки.

  Это есть. И этому есть железобетонное логичное объяснение.

> 
> 
>>>Так что надо лечить не следствие, а причину.
>>>
>>>
>>>> Просто, т. к. gpg допускает схему с подключами -- она должна работать
>>>>и для подписи пакетов. Иначе придётся как минимум её неработоспособность
>>>>у нас документировать. (И, возможно -- объяснять неработоспособность
>>>>подключай тем, кому их ненужность не очевидна.)
>>>
>>>Можно сказать по другому - внести в полиси для мантейнеров требование об
>>>использовании только ключей для подписи пакета. Мы же не обязаны
>>>выполнять все требования gpg. Также, как сейчас идёт переход на git,
>>>хотя нечто подобное можно сделать на svn, cvs. Точно такое же
>>>требование. Висят же на некоторых дверях "вход запрещён" и никто
>>>посторонний туда не входит, хотя технически возможно.
>>
>>  Не вижу серьёзных и обоснованных причин для данного требования:
>>идентификацию подписавшего обеспечивает любая из поддерживаемых gpg
>>схем. Почему предпочтение отдаётся только одной из них? (Пример с git,
>>svn и cvs не подходит: существенно разные вещи, с точки зрения
>>взаимодействия с репозитарием/его поддержки.)
> 
> 
> Это называется "Потому что". Когда написано "делать и так", придётся так и 
> делать независимо по какой причине.

  Если нет возможности поменять это самое "делать и так", на нечто более
очевидное/логичное/простое.

  Для данного случая: зачем вводить дополнительный ограничитель, который
не даёт значительных плюсов?

> Хорошо. Если Вам не нравится git в 
> сравнении с svn и cvs, возьмём другую аналогию: требование выкладывать в git 
> только в определённом порядке и, скорее всего, формировать необходимые 
> действия только через gear. А почему не в другом порядке, не в других 
> каталогах? Мне же будет удобнее их по другому называть. Где здесь 
> обоснованная причина? Ясно же - унификация.

  Да. Но не унификация-ради-унификации, а
унификация-для-удобства-автоматизации. Её плюсы понятны и весьма логичны.

> Точно также и ключами: 
> унификация. Зачем тысячу схем, ежели можно обойтись одной?

  А зачем менять привычное поведение, да ещё с добавлением
неопределённостей?

  Например, что у меня получилось (алгоритмически):

1. пакет подписан, но отвергнут.

2. при этом -- мой ключ в alt-gpgkeys есть

3. при этом rpmsign -Kv <пакет> на _моей_ системе мою подпись видит (оно
и понятно: все мои подключи у меня в связке...

  И только обращение в рассылку вскрыла причину этой проблемы...

  Так зачем раскладывать грабли, не обнаруживаемые простым образом, да
ещё и грабли, без очевидных плюсов?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1063 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Wednesday 12 July 2006 14:12 Aleksey Avdeev написал(a):
> 
>>  Не вижу серьёзных и обоснованных причин для данного требования:
>>идентификацию подписавшего обеспечивает любая из поддерживаемых gpg
>>схем. Почему предпочтение отдаётся только одной из них? (Пример с git,
>>svn и cvs не подходит: существенно разные вещи, с точки зрения
>>взаимодействия с репозитарием/его поддержки.)
> 
> 
> Кстати, есть ещё пример. У нас есть incoming@. Сейчас через него идут 
> src.rpm. А через некоторое время этого не будет и всё пойдёт через git. Мне 
> git ещё осваивать и осваивать, а времени нет. Мне удобнее src.rpm выложить и 
> всё. Но придётся переходить на git. Потому что "так положено" и ничего с 
> этим не сделать. Знаете "бритву Оккама"?

  Меня этот переход тоже ждёт. И основная мотивация к нему "лучше день
потерять, потом за 3 часа долететь": плюсы такого перехода хорошо видны.

  А само по себе "так положено" не значит ничего, если за ним ничего не
стоит...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Andrei Bulava]

Aleksey Avdeev wrote:

>   А зачем менять привычное поведение, да ещё с добавлением
> неопределённостей?
> 
>   Например, что у меня получилось (алгоритмически):
> 
> 1. пакет подписан, но отвергнут.
> 
> 2. при этом -- мой ключ в alt-gpgkeys есть
> 
> 3. при этом rpmsign -Kv <пакет> на _моей_ системе мою подпись видит (оно
> и понятно: все мои подключи у меня в связке...

От другого пользователя - не видит ;-) Но sisyphus_check, запускаемый во
время сборки пакета в hasher, как раз и не делает проверки подписи.

-- 
// AB1002-UANIC

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Wednesday 12 July 2006 15:16 Aleksey Avdeev написал(a):
> > Всё равно , у нас в поликлиннике, в музее требуется надевать бахилы даже
> > на самые распрекрасные ботинки.
>
>   Это есть. И этому есть железобетонное логичное объяснение.

Но что самое весёлое: есть 2 поликлиники, одна от другой в 5 мин. ходьбы, 
просто врачи них разных профилей. В одной требется надевать, в другой нет. И 
как тут приложить железобетонность - не знаю.

-- 
С уважением, Епифанов Сергей

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 938 bytes --]

Aleksey Avdeev пишет:
> Stanislav Ievlev пишет:
> 
>>On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
>>
>>
>>>Stanislav Ievlev пишет:
>>>
> 
> ...
> 
>>>>Уфф ... пусть главный по ключам решает.
>>>
>>> Если имеется в виду ldv@, то не является ли разрешением это:
>>><http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
>>
>>Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.
> 
> 
>   OK, ждём. (Только с 12 августа, я 2 недели без сети буду, скорее всего.)

  Со ждём, я кажется поторопился: сейчас буду
apache2-2.0.55-alt9.src.rpm выкладывать (пересобран с новым libldap-2.3,
из-за
<http://lists.altlinux.org/pipermail/sisyphus/2006-July/084195.html>).
При текущей ситуации -- он тоже застрянет в incoming...

  Может стоит всётаки сначала добавить подключ и уже потом, в спокойной
обстановке, думать как сделать правильно.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Alexey Rusakov]

Epiphanov Sergei wrote:
> Кстати, есть ещё пример. У нас есть incoming@. Сейчас через него идут 
> src.rpm. А через некоторое время этого не будет и всё пойдёт через git. Мне 
> git ещё осваивать и осваивать, а времени нет. Мне удобнее src.rpm выложить и 
> всё. Но придётся переходить на git. Потому что "так положено" и ничего с 
> этим не сделать. Знаете "бритву Оккама"?
"Не умножать сущности без необходимости". Поверьте, необходимость уже
назрела.

-- 
    Alexey "Ktirf" Rusakov

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Wed, Jul 12, 2006 at 02:55:45PM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
> > 
> >>Stanislav Ievlev пишет:
> >>
> ...
> >>>Уфф ... пусть главный по ключам решает.
> >>
> >>  Если имеется в виду ldv@, то не является ли разрешением это:
> >><http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
> > 
> > Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.
> 
>   OK, ждём. (Только с 12 августа, я 2 недели без сети буду, скорее всего.)
Посовещались (ещё в среду, но к сожалению не смог оповестить - отсутствовал сам).

Ваш способ был признан не дающим никаких бонусов с точки зрения
безопасности, а посему исключений было решено не делать. 

В связи рекомендуется воспользоваться одним из двух вариантов:
1. Использовать для подписи основной ключ (тот который в alt-gpgkeys), тот
который бессрочный. Можно при желании изменить его срок действия, сделав его конечным.
2. Сгенерить новый едиственный ключ для подписи своих пакетов.

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1406 bytes --]

Stanislav Ievlev пишет:
> On Wed, Jul 12, 2006 at 02:55:45PM +0400, Aleksey Avdeev wrote:
> 
>>Stanislav Ievlev пишет:
>>
>>>On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
>>>
>>>
>>>>Stanislav Ievlev пишет:
>>>>
>>
>>...
>>
>>>>>Уфф ... пусть главный по ключам решает.
>>>>
>>>> Если имеется в виду ldv@, то не является ли разрешением это:
>>>><http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
>>>
>>>Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.
>>
>>  OK, ждём. (Только с 12 августа, я 2 недели без сети буду, скорее всего.)
> 
> Посовещались (ещё в среду, но к сожалению не смог оповестить - отсутствовал сам).
> 
> Ваш способ был признан не дающим никаких бонусов с точки зрения
> безопасности, а посему исключений было решено не делать. 
> 
> В связи рекомендуется воспользоваться одним из двух вариантов:
> 1. Использовать для подписи основной ключ (тот который в alt-gpgkeys), тот
> который бессрочный. Можно при желании изменить его срок действия, сделав его конечным.

  OK, попробую этот путь...

  Прошу объяснить: Как это сделать технически?

  В .rpmmacros ключ и так указан явно:

%_gpg_name      0x84147704

  Как им образом сообщить rpm, что в данном случаи -- подключом не
пользоваться?

> 2. Сгенерить новый едиственный ключ для подписи своих пакетов.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Sergey V Turchin]

[-- Attachment #1: Type: text/plain, Size: 414 bytes --]

On Monday 17 July 2006 11:26, Stanislav Ievlev wrote:

[...]
> 1. Использовать для подписи основной ключ (тот который в
> alt-gpgkeys), тот который бессрочный. Можно при желании изменить
> его срок действия, сделав его конечным.
Может стоит определить срок жизни и не принимать бессрочных?

-- 
Regards, Sergey, ALT Linux Team, http://www.altlinux.ru
http://stinkfoot.org:11371/pks/lookup?op=get&search=0x1C2A3F08

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Stanislav Ievlev]

On Mon, Jul 17, 2006 at 08:00:56PM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Wed, Jul 12, 2006 at 02:55:45PM +0400, Aleksey Avdeev wrote:
> > 
> >>Stanislav Ievlev пишет:
> >>
> >>>On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
> >>>
> >>>
> >>>>Stanislav Ievlev пишет:
> >>>>
> >>
> >>...
> >>
> >>>>>Уфф ... пусть главный по ключам решает.
> >>>>
> >>>> Если имеется в виду ldv@, то не является ли разрешением это:
> >>>><http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
> >>>
> >>>Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.
> >>
> >>  OK, ждём. (Только с 12 августа, я 2 недели без сети буду, скорее всего.)
> > 
> > Посовещались (ещё в среду, но к сожалению не смог оповестить - отсутствовал сам).
> > 
> > Ваш способ был признан не дающим никаких бонусов с точки зрения
> > безопасности, а посему исключений было решено не делать. 
> > 
> > В связи рекомендуется воспользоваться одним из двух вариантов:
> > 1. Использовать для подписи основной ключ (тот который в alt-gpgkeys), тот
> > который бессрочный. Можно при желании изменить его срок действия, сделав его конечным.
> 
>   OK, попробую этот путь...
> 
>   Прошу объяснить: Как это сделать технически?
Через edit-key возможно изменить срок действия.
Как объяснить rpm какой ключ выбрать увы не в курсе.

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1631 bytes --]

Stanislav Ievlev пишет:
> On Mon, Jul 17, 2006 at 08:00:56PM +0400, Aleksey Avdeev wrote:
> 
>>Stanislav Ievlev пишет:
>>
>>>On Wed, Jul 12, 2006 at 02:55:45PM +0400, Aleksey Avdeev wrote:
>>>
>>>
>>>>Stanislav Ievlev пишет:
>>>>
>>>>
>>>>>On Wed, Jul 12, 2006 at 11:58:41AM +0400, Aleksey Avdeev wrote:
>>>>>
>>>>>
>>>>>
>>>>>>Stanislav Ievlev пишет:
>>>>>>
>>>>
>>>>...
>>>>
>>>>
>>>>>>>Уфф ... пусть главный по ключам решает.
>>>>>>
>>>>>>Если имеется в виду ldv@, то не является ли разрешением это:
>>>>>><http://lists.altlinux.org/pipermail/devel/2006-July/034531.html>? ;-)
>>>>>
>>>>>Дима сейчас в отпуске, а мне хотелось бы обсудить с ним это очно.
>>>>
>>>> OK, ждём. (Только с 12 августа, я 2 недели без сети буду, скорее всего.)
>>>
>>>Посовещались (ещё в среду, но к сожалению не смог оповестить - отсутствовал сам).
>>>
>>>Ваш способ был признан не дающим никаких бонусов с точки зрения
>>>безопасности, а посему исключений было решено не делать. 
>>>
>>>В связи рекомендуется воспользоваться одним из двух вариантов:
>>>1. Использовать для подписи основной ключ (тот который в alt-gpgkeys), тот
>>>который бессрочный. Можно при желании изменить его срок действия, сделав его конечным.
>>
>>  OK, попробую этот путь...
>>
>>  Прошу объяснить: Как это сделать технически?
> 
> Через edit-key возможно изменить срок действия.

  Это -- знаю.

> Как объяснить rpm какой ключ выбрать увы не в курсе.

  Т. е. в моём случаи -- требуется заведение ещё одного ключа... (Т. к.
способов отучения gpg использовать подключ -- я не знаю.) :-(((

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Ildar Mulyukov]

On 18.07.2006 17:34:03, Aleksey Avdeev wrote:
> > Как объяснить rpm какой ключ выбрать увы не в курсе.
> 
>   Т. е. в моём случаи -- требуется заведение ещё одного ключа... (Т.
> к.
> способов отучения gpg использовать подключ -- я не знаю.) :-(((
Почему же? Можно его просто удалить.

Ильдар
--
Ildar  Mulyukov,
   free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================

Re: [devel] I: возврат subkey в alt-gpgkeys

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 536 bytes --]

Ildar Mulyukov пишет:
> On 18.07.2006 17:34:03, Aleksey Avdeev wrote:
> 
>>>Как объяснить rpm какой ключ выбрать увы не в курсе.
>>
>>  Т. е. в моём случаи -- требуется заведение ещё одного ключа... (Т.
>>к.
>>способов отучения gpg использовать подключ -- я не знаю.) :-(((
> 
> Почему же? Можно его просто удалить.

  Тогда -- его нельзя будет использовать вообще, для других целей...

PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
запутаться при этом. :-(((

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] I: возврат subkey в alt-gpgkeys

[Epiphanov Sergei]

В сообщении от Tuesday 18 July 2006 16:40 Aleksey Avdeev написал(a):
> Ildar Mulyukov пишет:
> > On 18.07.2006 17:34:03, Aleksey Avdeev wrote:
> >>>Как объяснить rpm какой ключ выбрать увы не в курсе.
> >>
> >>  Т. е. в моём случаи -- требуется заведение ещё одного ключа... (Т.
> >>к.
> >>способов отучения gpg использовать подключ -- я не знаю.) :-(((
> >
> > Почему же? Можно его просто удалить.
>
>   Тогда -- его нельзя будет использовать вообще, для других целей...
>
> PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
> запутаться при этом. :-(((

А Вы в новом имени вставьте пометку, что это для ALTLinux (например, "(ALT 
linux Team)"). Запомните сразу.

-- 
С уважением, Епифанов Сергей

[devel] U: Смена gpg ключа (was: I: возврат subkey в alt-gpgkeys)

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1034 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Tuesday 18 July 2006 16:40 Aleksey Avdeev написал(a):
> 
>>Ildar Mulyukov пишет:
>>
>>>On 18.07.2006 17:34:03, Aleksey Avdeev wrote:
>>>
>>>>>Как объяснить rpm какой ключ выбрать увы не в курсе.
>>>>
>>>> Т. е. в моём случаи -- требуется заведение ещё одного ключа... (Т.
>>>>к.
>>>>способов отучения gpg использовать подключ -- я не знаю.) :-(((
>>>
>>>Почему же? Можно его просто удалить.
>>
>>  Тогда -- его нельзя будет использовать вообще, для других целей...
>>
>>PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
>>запутаться при этом. :-(((

  Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
пакетов -- буду использовать его. (Для остальных целей -- старый, с
подключами.)

> 
> А Вы в новом имени вставьте пометку, что это для ALTLinux (например, "(ALT 
> linux Team)"). Запомните сразу.

  Примерно такой -- уже есть. Сделал "Aleksey Avdeev (ALT Linux Team,
for packages)".

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: Смена gpg ключа (was: I: возврат subkey в alt-gpgkeys)

[Epiphanov Sergei]

В сообщении от Tuesday 18 July 2006 22:28 Aleksey Avdeev написал(a):
> >>PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
> >>запутаться при этом. :-(((
>
>   Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
> пакетов -- буду использовать его. (Для остальных целей -- старый, с
> подключами.)

А, случаем, этот ключ не надо отправлять на incoming@ (подписав письмо старым 
ключом) вместо выкладывания в i/S/ ?

-- 
С уважением, Епифанов Сергей

Re: [devel] U: Смена gpg ключа

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 718 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Tuesday 18 July 2006 22:28 Aleksey Avdeev написал(a):
> 
>>>>PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
>>>>запутаться при этом. :-(((
>>
>>  Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
>>пакетов -- буду использовать его. (Для остальных целей -- старый, с
>>подключами.)
> 
> 
> А, случаем, этот ключ не надо отправлять на incoming@ (подписав письмо старым 
> ключом) вместо выкладывания в i/S/ ?

  Понятия не имею: на мой взгляд это равноценные пути. Кроме того, как
можно проверить мой старый ключ, если подключ (используемый для подписи
писем, в том числе) выкинут?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: Смена gpg ключа

[Epiphanov Sergei]

В сообщении от Wednesday 19 July 2006 15:37 Aleksey Avdeev написал(a):
> > А, случаем, этот ключ не надо отправлять на incoming@ (подписав письмо
> > старым ключом) вместо выкладывания в i/S/ ?

Некоторое время назад уже пробегало, что для смены ключа необходимо новый 
высылать на incoming@ за подписью старого.

>   Понятия не имею: на мой взгляд это равноценные пути. Кроме того, как
> можно проверить мой старый ключ, если подключ (используемый для подписи
> писем, в том числе) выкинут?

А можно подписаться самим ключом? В KMail, вроде, так можно.

-- 
С уважением, Епифанов Сергей

Re: [devel] U: Смена gpg ключа

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 841 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Wednesday 19 July 2006 15:37 Aleksey Avdeev написал(a):
> 
>>>А, случаем, этот ключ не надо отправлять на incoming@ (подписав письмо
>>>старым ключом) вместо выкладывания в i/S/ ?
> 
> 
> Некоторое время назад уже пробегало, что для смены ключа необходимо новый 
> высылать на incoming@ за подписью старого.
> 
> 
>>  Понятия не имею: на мой взгляд это равноценные пути. Кроме того, как
>>можно проверить мой старый ключ, если подключ (используемый для подписи
>>писем, в том числе) выкинут?
> 
> 
> А можно подписаться самим ключом? В KMail, вроде, так можно.

  У меня подпись идёт ключом по умолчанию. Как сказать gpg, что бы при
этом не использовался находящийся в ключе подключ -- я не знаю.

PS: Но на incoming@ -- дубль сейчас отправлю.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: Смена gpg ключа (дубль для incoming@)

[Aleksey Avdeev]

[-- Attachment #1.1: Type: text/plain, Size: 667 bytes --]

Epiphanov Sergei пишет:
> В сообщении от Tuesday 18 July 2006 22:28 Aleksey Avdeev написал(a):
> 
>>>>PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
>>>>запутаться при этом. :-(((
>>
>>  Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
>>пакетов -- буду использовать его. (Для остальных целей -- старый, с
>>подключами.)
> 
> 
> А, случаем, этот ключ не надо отправлять на incoming@ (подписав письмо старым 
> ключом) вместо выкладывания в i/S/ ?
> 

  К письму приложен solo.asc (он же -- залит в
incoming:/incoming/Sisyphus/solo.asc). Прошу добавить его в alt-gpgkeys.

-- 

С уважением. Алексей.

[-- Attachment #1.2: solo.asc --]
[-- Type: text/plain, Size: 2760 bytes --]

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
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=VMfp
-----END PGP PUBLIC KEY BLOCK-----

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: Смена gpg ключа (was: I: возврат subkey в alt-gpgkeys)

[Stanislav Ievlev]

On Tue, Jul 18, 2006 at 10:28:01PM +0400, Aleksey Avdeev wrote:
> Epiphanov Sergei пишет:
> > В сообщении от Tuesday 18 July 2006 16:40 Aleksey Avdeev написал(a):
> > 
> >>Ildar Mulyukov пишет:
> >>
> >>>On 18.07.2006 17:34:03, Aleksey Avdeev wrote:
> >>>
> >>>>>Как объяснить rpm какой ключ выбрать увы не в курсе.
> >>>>
> >>>> Т. е. в моём случаи -- требуется заведение ещё одного ключа... (Т.
> >>>>к.
> >>>>способов отучения gpg использовать подключ -- я не знаю.) :-(((
> >>>
> >>>Почему же? Можно его просто удалить.
> >>
> >>  Тогда -- его нельзя будет использовать вообще, для других целей...
> >>
> >>PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
> >>запутаться при этом. :-(((
> 
>   Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
> пакетов -- буду использовать его. (Для остальных целей -- старый, с
> подключами.)
   alt-gpgkeys-0.4.1-alt7

       - Replaced keys:
               84147704 with 2BDCCA89  (Aleksey Avdeev)

Re: [devel] U: Смена gpg ключа

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 660 bytes --]

Stanislav Ievlev пишет:
> On Tue, Jul 18, 2006 at 10:28:01PM +0400, Aleksey Avdeev wrote:
> 
...
>>>>
>>>>PS: ЧЁРТ! Придётся, по видимому, зоопарк ключей городить... Какбы ещё не
>>>>запутаться при этом. :-(((
>>
>>  Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
>>пакетов -- буду использовать его. (Для остальных целей -- старый, с
>>подключами.)
> 
>    alt-gpgkeys-0.4.1-alt7
> 
>        - Replaced keys:
>                84147704 with 2BDCCA89  (Aleksey Avdeev)

  Спасибо.

PS: Переподписал и перезалил apache2-2.0.55-alt9.src.rpm и
php-mcrypt-4.4.3.cvs20060626-alt1.src.rpm.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: Смена gpg ключа

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 578 bytes --]

Stanislav Ievlev пишет:
> On Tue, Jul 18, 2006 at 10:28:01PM +0400, Aleksey Avdeev wrote:
> 
>>  Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
>>пакетов -- буду использовать его. (Для остальных целей -- старый, с
>>подключами.)
> 
>    alt-gpgkeys-0.4.1-alt7
> 
>        - Replaced keys:
>                84147704 with 2BDCCA89  (Aleksey Avdeev)

  Что-то его на ftp не видно: только
ftp://ftp.altlinux.com/pub/distributions/ALTLinux/Sisyphus/i586/RPMS.classic/alt-gpgkeys-0.4.1-alt6.i586.rpm
наблюдаю...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [devel] U: Смена gpg ключа

[Stanislav Ievlev]

On Mon, Jul 24, 2006 at 08:21:58PM +0400, Aleksey Avdeev wrote:
> Stanislav Ievlev пишет:
> > On Tue, Jul 18, 2006 at 10:28:01PM +0400, Aleksey Avdeev wrote:
> > 
> >>  Залил новый ключ в incoming:/incoming/Sisyphus/solo.asc. Для подписей
> >>пакетов -- буду использовать его. (Для остальных целей -- старый, с
> >>подключами.)
> > 
> >    alt-gpgkeys-0.4.1-alt7
> > 
> >        - Replaced keys:
> >                84147704 with 2BDCCA89  (Aleksey Avdeev)
> 
>   Что-то его на ftp не видно: только
> ftp://ftp.altlinux.com/pub/distributions/ALTLinux/Sisyphus/i586/RPMS.classic/alt-gpgkeys-0.4.1-alt6.i586.rpm
> наблюдаю...
incominger в лесу ...