Dazu wird der Hauptschlüssel des Build Services genommen, dem je nach Distribution und Repository weitere Unterschlüssel hinzugefügt werden. Im Webinterface ist es aber leider nicht möglich, einen bestimmten Schlüssel zu wählen oder einen eigenen Key zu importieren. Dazu ist der Entwickler auf die Kommandozeile angewiesen, genauer gesagt auf Osc, den OpenSUSE Build Service client.

Listing 1: osc

$ osc signkey --help

signkey: Manage Project Signing Key

osc signkey [--create|--delete|--extend] <PROJECT>

osc signkey [--notraverse] <PROJECT>

This command is for managing gpg keys. It shows the public key

by default. There is no way to download or upload the private

part of a key by design.

However you can create a new own key. You may want to consider

to sign the public key with your own existing key.

If a project has no key, the key from upper level project will

be used (eg. when dropping "KDE:KDE4:Community" key, the one from

"KDE:KDE4" will be used).

WARNING: THE OLD KEY WILL NOT BE RESTORABLE WHEN USING DELETE OR CREATE

Usage:

osc signkey [ARGS...]

Options:

-h, --help show this help message and exit

--notraverse don' traverse projects upwards to find key

--delete delete the gpg signing key in this project

--extend extend expiration date of the gpg public key for this project

--create create new gpg signing key for this project

Wer schon eine eigene Instanz des OpenSUSE Build Services betreibt, kann den Build Service Signer natürlich auch deaktivieren. Die Metadaten, die Creatrepo erstellt, enthalten Zeitstempel und SHA256-Prüfsummen. Beim OSB werden dieses Metadaten dann noch zusätzlich mit einer Detatched-GPG-Signatur unterzeichnet.

Infos:

OSC: http://en.opensuse.org/openSUSE:OSC

Regeln für Unterschlüssel: http://en.opensuse.org/openSUSE:Build_Service_Signer

Signieren von Metadaten: http://en.opensuse.org/Secure_Installation_Sources