<div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jul 1, 2021 at 6:21 PM Sandro Knauß <<a href="mailto:sknauss@kde.org">sknauss@kde.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br></blockquote><div><br></div><div>Hi there,</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
it would be helpful to get the key reliable. But I think a repo is not the <br>
best way to communicate gpg keys, as the whole gpg infrastructure is not <br>
really made for this. I would like not to see another way to communicate GPG <br>
keys. <br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
In my mind I would recommend to use WKD[0] to communicate keys with the <br>
outside world. WKD would give a unique url to download a minified version of a <br>
specific key. One disadvantage would be that it means that everyone who signs a <br>
release would need a <a href="http://kde.org" rel="noreferrer" target="_blank">kde.org</a> address ( but I expect this anyways for all you <br>
create signed tarballs) or would need to setup WKD for its mail address. <br>
But WKD is a protocol and does not mean that we need to setup WKS. That's why <br>
we need a data source for WKD and here we can use a gpg repo. But that would <br>
be only a implementation detail and not needed to communicate with the <br>
downstream. The additional advantage of WKD is also that you can easily find <br>
the correct key to send encrypted mails.<br></blockquote><div><br></div><div>Sorry but while that may be a reasonable assumption for the main module releases (Frameworks, Plasma and Gear) it is not for independently released applications.</div><div>Many of these have release managers who do not hold a KDE.org address.</div><div><br></div><div>Also I note that this needs the keys somewhere anyway, so you are still going to be putting them in a repository as we need a way for people to do this on a reasonably self-service basis while still having a solid chain of trust around that - so WKD would be additional overhead (it has to be a repository because in general that is how you get things on KDE web infrastructure when it is static or run through a dynamic generator)<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
A script to generate the needed files for the websever is quite simple [1]. You <br>
can reach me to help to setup such a script for the KDE infrastructure.<br>
<br>
regards,<br>
<br>
hefee<br></blockquote><div><br></div><div>Cheers,</div><div>Ben</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
[0] <a href="https://wiki.gnupg.org/WKD" rel="noreferrer" target="_blank">https://wiki.gnupg.org/WKD</a><br>
[1] <a href="https://gitlab.com/Martin_/generate-openpgpkey-hu-3/" rel="noreferrer" target="_blank">https://gitlab.com/Martin_/generate-openpgpkey-hu-3/</a><br>
<br>
> at akademy we were musing on the possibility of having a keychain<br>
> repo. in part because keyservers are proofing unreliable, in part<br>
> because we believe it may be more annoying to (securely) fetch a key<br>
> from a keyserver than fish it out of a repo.<br>
> <br>
> so...<br>
> would distros at all be interested in this and be able to easily use<br>
> keys from a git repo we host on <a href="http://invent.kde.org" rel="noreferrer" target="_blank">invent.kde.org</a> instead of a gpg<br>
> keyserver?<br>
> <br>
> HS<br>
<br>
<br>
<br>
<br>
<br>
</blockquote></div></div>