Google, Inc. Linux Package Signing Key !

Support Debian
#1

En regardant les clé d’authentifications pour les dépôts de mon sources.list, j’ai trouvé ça[code]# apt-key list
/etc/apt/trusted.gpg

pub 1024D/6070D3A1 2006-11-20 [expire: 2009-07-01]
uid Debian Archive Automatic Signing Key (4.0/etch) ftpmaster@debian.org

pub 1024D/ADB11277 2006-09-17
uid Etch Stable Release Key debian-release@lists.debian.org

pub 1024D/BBE55AB3 2007-03-31 [expire: 2010-03-30]
uid Debian-Volatile Archive Automatic Signing Key (4.0/etch)
sub 2048g/36CA98F3 2007-03-31 [expire: 2010-03-30]

pub 1024D/F42584E6 2008-04-06 [expire: 2012-05-15]
uid Lenny Stable Release Key debian-release@lists.debian.org

pub 4096R/55BE302B 2009-01-27 [expire: 2012-12-31]
uid Debian Archive Automatic Signing Key (5.0/lenny) ftpmaster@debian.org

pub 2048R/6D849617 2009-01-24 [expire: 2013-01-23]
uid Debian-Volatile Archive Automatic Signing Key (5.0/lenny)

pub 1024D/1F41B907 1999-10-03
uid Christian Marillat marillat@debian.org
uid Christian Marillat marillat@free.fr
sub 1536g/C28DCC42 1999-10-03
sub 1024D/5D3877A7 2002-08-26

pub 1024D/7FAC5991 2007-03-08
uid Google, Inc. Linux Package Signing Key linux-packages-keymaster@google.com
sub 2048g/C07CB649 2007-03-08[/code]La dernière clé relative à Google m’inquiète un peu !
Je suis certain de ne pas avoir volontairement introduit cette clé dans mon système.
Vous avez ça chez vous ?

#2

Bonsoir Talogue :smt006

Voici le miens [code]pub 1024D/6070D3A1 2006-11-20 [expire: 2009-07-01]
uid Debian Archive Automatic Signing Key (4.0/etch) ftpmaster@debian.org

pub 1024D/ADB11277 2006-09-17
uid Etch Stable Release Key debian-release@lists.debian.org

pub 1024D/BBE55AB3 2007-03-31 [expire: 2010-03-30]
uid Debian-Volatile Archive Automatic Signing Key (4.0/etch)
sub 2048g/36CA98F3 2007-03-31 [expire: 2010-03-30]

pub 1024D/F42584E6 2008-04-06 [expire: 2012-05-15]
uid Lenny Stable Release Key debian-release@lists.debian.org

pub 4096R/55BE302B 2009-01-27 [expire: 2012-12-31]
uid Debian Archive Automatic Signing Key (5.0/lenny) ftpmaster@debian.org

pub 2048R/6D849617 2009-01-24 [expire: 2013-01-23]
uid Debian-Volatile Archive Automatic Signing Key (5.0/lenny)

pub 1024D/1F41B907 1999-10-03
uid Christian Marillat marillat@debian.org
uid Christian Marillat marillat@free.fr
sub 1536g/C28DCC42 1999-10-03
sub 1024D/5D3877A7 2002-08-26[/code]

Pas de Google key pour moi :unamused:

#3

Tain, serais-je le seul ? comment j’ai attrapé ça moi ?

Mon sources.list n’a que du debian et du marillat.
Peut-être le paquet googleearth (construit pourtant via la méthode debian) m’a-t’il introduit ça en force ? Aie !
Je pense aussi aux 3 seuls autres paquets tiers non issus des dépôts et installés avec dpkg. Ils n’ont pourtant rien à voir avec google.

M’enfin, si c’est un paquet qui m’a refilé ce truc ben c’est pas top :confused:

#4

je ne l’ai pas non plus.

Cette clé n’a pas été installée lors d’une install d’une appli de google genre googleMap ?

#5

remarque, si cette clé vérifie bien l’intégralité d’un dépôt, je ne vois pas en quoi cela te fais peur…

#6

[quote=“grigric”]Cette clé n’a pas été installée lors d’une install d’une appli de google genre googleMap ?[/quote]C’est ce que j’essaie de regarder. Car je suis certain de ne pas avoir volontairement introduit cette clé dans mon système.
Je pense donc à un paquet (de chez google ou autre) qui aurait introduit cette clé dans apt.

[quote=“M3t4linux”]remarque, si cette clé vérifie bien l’intégralité d’un dépôt, je ne vois pas en quoi cela te fais peur…[/quote]Ben c’est quand même inquiétant d’avoir dans apt une clé non demandée et qui authentifie un dépôt dont je ne sais rien :frowning:
Pas top d’un point de vue sécurité non ?
Menfin, ça ne m’empêchera pas de dormir. D’ailleurs je l’ai déjà supprimée :mrgreen:

#7

Moi je l’ai cette clé. A priori c’est celle que j’ai ajoutée avec le Google linux repository, pour avoir Picasa. Voir ici :http://www.google.com/linuxrepositories/aboutkey.html

Rien de grave donc…

#8

Même bourré :smt002 , je ne me vois pas rentrer dans apt une clé d’un dépôt extérieur !
Je pense qu’un paquet me la refilée de force. J’essaie de trouver le coupable …
Merci pour vos réponses

#9

Aurais-tu installé la version beta de google chrome sans lire les petites lignes ?

BBK

http://dev.chromium.org/getting-involved/dev-channel

#10

Merci BeberKing, tu as raison.

J’avais effectivement testé google chrome et l’avais rapidement supprimé.
Je viens de re-tester et effectivement :
1- cela crée un fichier contenant la ligne deb dl.google.com/linux/deb/ stable main
dans /etc/apt/sources.list.d/google-chrome.list
2- cela ajoute la clef d’authentification de ce dépôt
3- Un remove --purge de google chrome supprime le dépôt mais pas la clé

Je me doutais bien que cela devait venir de google chrome mais pour les tests que j’avais fais ensuite, j’avais utilisé un paquet venant d’ubuntu et débarrassé de ces cochonneries.

Merci encore et cela renforce mon opinion : être très prudent et attentif quand on installe un programme venant d’une source extérieure.