[Dev] Cosmos och nyckelrevokering
john@nordu.net
7 Dec
2015
7 Dec
'15
12:55 p.m.
On 2015-12-07 12:30, Linus Nordberg wrote:
Hej!
Så här ser det ut när man run-cosmos på web.ndn:
--8<---------------cut here---------------start------------->8---
################################################################
FAILED signature check on puppet-module dhcp
################################################################
object a840d658cf26dc1a5c4506a453ab0c9353d8d5b8
type commit
tag sunet-2013-12-20-v01
tagger Fredrik Thulin <fredrik at thulin.net> 1387529664 +0100
new version
gpg: Signature made Fri Dec 20 09:54:27 2013 CET using RSA key ID 505152DD
gpg: Can't check signature: public key not found
error: could not verify the tag 'sunet-2013-12-20-v01'
--8<---------------cut here---------------end--------------->8---
Jag antar att det beror på att vi plockade bort Fredriks nyckel (commit
1d039c6). Fattar inte riktigt hur det kunde funka fram till idag
dock. Verifierar cosmos "gamla taggar" ibland?
Mer genereellt, hur är det tänkt att det skall gå till när man tar bort
nycklar?
_______________________________________________
Dev mailing list
Dev at lists.sunet.se
https://lists.sunet.se/listinfo/dev
Det är endast den sista taggen som spelar roll.
Så den som signerade den
sista taggen är implicit ansvarig för föregående commitad kod.
Det är således inget problem om nycklar som någon tidigare har signerat
med går ut - bara det inte är nyckeln tillhörande den som signerade sist
som har gått ut.
Det mera generella läget (och eventuellt dölja meddelanden som du fick)
vet jag inte hur man ska hantera. Kanske ha en separat keychain för
sådana som inte är med i trust-rooten i dagsläget, men en gång var det?
//John