<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Jan 16, 2016, at 7:07 PM, Andreas Schneider wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div><div><div><div>..... the old Way ;)<br></div></div></div></div></div></blockquote><div><br></div>Your vote is tallied.<br><div><br></div>The old way leads to reports of "BAD" or "INVALID" bug reports against packages in Cooker,</div><div>which is about to be repeated with the next beta because Cooker packages are not signed</div><div>with the "official" key.</div><div><br></div><div>That was the reason why TPG asking about a blueprint ...</div><div><br></div><div><blockquote type="cite"><div dir="ltr"><div><div><div>why to discuss anymore? use it<br><br></div></div></div></div></blockquote><div><br></div>Um, the discussion happened some weeks ago: I promised to supply a blueprint,</div><div>which I have done.</div><div><br></div><div>Do what you wish.</div><div><br><blockquote type="cite"><div dir="ltr"><div><div><br></div>A Warning,<br></div>again Adobe-Flash-Linux latest Version is leaky..... even on Linux risky !<br><div><div><br></div></div></div></blockquote><div><br></div>Presumably you mean leaky of security info, an entirely different issue than</div><div>cooker rpm package signatures.</div><div><br></div><div>File a bug report ... you know the drill.</div><div><br></div><div>73 de Jeff</div><div><br><blockquote type="cite"><div dir="ltr"><div><div><br>regards<br><br><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-01-16 22:59 GMT+01:00 Jeff Johnson <span dir="ltr"><<a href="mailto:n3npq@mac.com" target="_blank">n3npq@mac.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><br><div><span class=""><div>On Jan 15, 2016, at 5:14 PM, Jeff Johnson wrote:</div><br><blockquote type="cite"><div dir="ltr">I'll write up a plan and post next few hours.<div><br></div><div>(aside)</div><div>Actually I just write for an hour but sent through a misconfigured mail server accidentally)<br><div><br></div></div></div></blockquote><blockquote type="cite"><div dir="ltr"><div><div>73 de Jeff</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 15, 2016 at 8:31 AM, Tomasz Gajc <span dir="ltr"><<a href="mailto:tpgxyz@gmail.com" target="_blank">tpgxyz@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Hi,<br><br></div><div>as we know after ABF breakdown, rpm packages signing are disabled in cooker - due to various problems. I'll check if this got magically fixed, but that is not a topic.<br><br></div><div>Copule of weeks ago JBJ comes with an idea how to implement different trusinting mechanisms for rpm packages.<br><br></div><div>Do we have a bluepronts for this anything more than idea ? It will have bad impact on release when comes to server to users errors about not verified rpm packages.<br><br></div></div></blockquote></div></div></blockquote><div><br></div></span>What was discussed is using the signature produced by every invocation of rpmbuild instead</div><div>of automatically signing packages with an "official" key as part of pushing packages to mirrors.</div><div><br></div><div>The benefits of using the non-repudiable signature from rpmbuild are these:</div><div><br></div><div>0) rpmbuild is already signing every package in every build, has been for years.</div><div>1) the "official" private key is not exposed on build systems, and a key compromise affects</div><div><span style="white-space:pre-wrap"> </span>one, not every, build.</div><div>2) the "official" public key does not need to be distributed and imported, the non-repudiable pubkey</div><div><span style="white-space:pre-wrap">      </span>is included in each package.</div><div>3) packages do not need be rewritten in order to insert the signature in the package, rpmbuild</div><div><span style="white-space:pre-wrap">        </span>adds the signature while writing the package.</div><div>4) false "BAD signature" reports from urpmi checking for "official" pubkey id's are eliminated.</div><div><br></div><div>Note that signing the final release with an "official" key is still recommended. The recommendation</div><div>to use the non-repudiable signature during cooker simplifies daily mirroring by replacing the fragile</div><div>complicated procedure of signing as part of daily mirroring.</div><div><br></div><div>The remaining concern/task switching to using the non-repudiable rpmbuild signature was/is in</div><div>identifying what content should be on mirrors. Currently any package not signed with the "official"</div><div>key should not be in mirrors. Using the existence of an "official" signature to detect whether mirror</div><div>content has been augmented with a trojan package can be handled in other ways, including</div><div>detecting missing packages.</div><div><br></div><div>The details of the non-repudiable signature are described online here:</div><div><span style="white-space:pre-wrap">        <a href="http://cacr.uwaterloo.ca/hac/about/chap13.pdf" target="_blank">http://cacr.uwaterloo.ca/hac/about/chap13.pdf</a></span></div><div>See section 13.8.2 "Non-repudiation and notarization of digital signatures" on page 587.</div><div><br></div><div>The two page description of a non-repudiable signature describes three compromise threats on p 588.</div><div><br></div><div>What was discussed a couple weeks back was mitigating the threats by "3. use of a trusted notary agent"</div><div>through the service available at</div><div><span style="white-space:pre-wrap">    <a href="http://virtual-notary.org/" target="_blank">http://virtual-notary.org</a></span></div><div><br></div><div>One simple way to use the notary is to produce a flat file manifest listing package file names with</div><div>additional identification like file size, non-repudiable pubkey id, file digest/crc, etc. The manifest</div><div>can be signed to provide an additional level of protection. What a digital notary provides is</div><div>that the manifest existed in its current form at a known time/date/location.</div><div><br></div><div>The flat file manifest is published and registered with <a href="http://virtual-notary.org/" target="_blank">http://virtual-notary.org</a>, which retrieves the document</div><div>and issues a certificate with the time/date and location (i.e. an ipaddr or FQDN) from which retrieved.</div><div><br></div><div>All of the packages/manifest are then published to mirrors. A careful end user can then ascertain</div><div>whether the mirror contains only "official" packages by downloading the manifest/certificate/packages,</div><div>verifying the certificate on the manifest and then verifying the additional package identification is</div><div>as described in the document. Finally the package signature can be verified, but rpm always does</div><div>that verification during install unless disabled.</div><div><br></div><div>What remains to be done (in some order) is this:</div><div><br></div><div><span style="white-space:pre-wrap"> </span>1) confirm the non-repudiable signature exists by building a package and verifying</div><div><span style="white-space:pre-wrap">       </span>the signature (using "rpm -qvvp *.rpm" should be sufficient), and that the pubkey is</div><div><span style="white-space:pre-wrap">   </span>contained within every package.</div><div><br></div><div><span style="white-space:pre-wrap">    </span>2) remove the check for "official" pubkey in urpmi.</div><div><br></div><div><span style="white-space:pre-wrap">   </span>3) create the manifest format to taste including additional identification like the non-repudiable pubkey id</div><div><br></div><div><span style="white-space:pre-wrap">    </span>4) register the manifest with <a href="http://virtual-notary.org/" target="_blank">http://virtual-notary.org</a> and get the certificate. confirm that the certificate</div><div><span style="white-space:pre-wrap">      </span>is consistent with the document.</div><div><br></div><div><span style="white-space:pre-wrap">        </span>5) decide how to add the above steps to the mirroring process, and how to document the procedure.</div><div><br></div><div>Apologies for wordiness. Poke me on the irc meeting if you have questions.</div><div><br></div><div>hth</div><div><br></div><div>73 de Jeff</div><span class=""><div><br></div><div><span style="white-space:pre-wrap"> </span></div><div><span style="white-space:pre-wrap"> </span></div><div><span style="white-space:pre-wrap"> </span></div><div><span style="white-space:pre-wrap"> </span></div><div><br></div><div><br></div><div><br></div><div><br></div><div><blockquote type="cite"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Cheers.<br></div></div>
</blockquote></div><br></div>
_______________________________________________<br>OM-Cooker mailing list<br><a href="mailto:OM-Cooker@ml.openmandriva.org" target="_blank">OM-Cooker@ml.openmandriva.org</a><br><a href="http://ml.openmandriva.org/mailman/listinfo/om-cooker_ml.openmandriva.org" target="_blank">http://ml.openmandriva.org/mailman/listinfo/om-cooker_ml.openmandriva.org</a><br></blockquote></div><br></span></div><br>_______________________________________________<br>
OM-Cooker mailing list<br>
<a href="mailto:OM-Cooker@ml.openmandriva.org">OM-Cooker@ml.openmandriva.org</a><br>
<a href="http://ml.openmandriva.org/mailman/listinfo/om-cooker_ml.openmandriva.org" rel="noreferrer" target="_blank">http://ml.openmandriva.org/mailman/listinfo/om-cooker_ml.openmandriva.org</a><br>
<br></blockquote></div><br></div>
_______________________________________________<br>OM-Cooker mailing list<br><a href="mailto:OM-Cooker@ml.openmandriva.org">OM-Cooker@ml.openmandriva.org</a><br>http://ml.openmandriva.org/mailman/listinfo/om-cooker_ml.openmandriva.org<br></blockquote></div><br></body></html>