GPG-Schlüssel zur Signierung der GitLab-Paket-Repository-Metadaten wurde verlängert

GitLab verwendet einen GPG-Schlüssel, um die Metadaten der verschiedenen apt- und yum-Repositories zu signieren, über die die offiziellen omnibus-gitlab- und gitlab-runner-Pakete verteilt werden. Dies dient der Sicherstellung der Paketintegrität; die Pakete selbst werden zusätzlich durch einen separaten Schlüssel signiert.

Der aktuell für die Metadaten-Signierung verwendete Schlüssel mit dem Fingerabdruck F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F läuft am 27. Feb. 2026 ab und wurde bis zum 6. Feb. 2028 verlängert.

Warum wird die Laufzeit verlängert?

Die Laufzeit des Repository-Metadaten-Signierungsschlüssels wird regelmäßig verlängert, um den GitLab-Sicherheitsrichtlinien zu entsprechen und das Risiko im Falle einer Kompromittierung des Schlüssels zu begrenzen. Statt einer Rotation auf einen neuen Schlüssel wird die Laufzeit verlängert, um den Aufwand für Nutzende zu minimieren – eine Rotation würde erfordern, dass alle Nutzenden ihren vertrauenswürdigen Schlüssel ersetzen.

Was ist zu tun?

Wer GitLab-Repositories bereits vor dem 17. Feb. 2026 auf dem eigenen System konfiguriert hat, findet in der offiziellen Dokumentation Hinweise dazu, wie der neue Schlüssel abgerufen und hinzugefügt werden kann. Für neue Nutzende ist keine weitere Aktion erforderlich – es genügt, der GitLab-Installationsseite oder der Installationsdokumentation für gitlab-runner zu folgen. Weitere Informationen zur Überprüfung der Repository-Metadaten-Signaturen sind in der Omnibus-Dokumentation verfügbar. Den öffentlichen Schlüssel lässt sich auf jedem GPG-Keyserver über die Suche nach [email protected] oder die Schlüssel-ID F640 3F65 44A3 8863 DAA0 B6E0 3F01 618A 5131 2F3F finden.

Alternativ kann der Schlüssel direkt von packages.gitlab.com unter folgender URL heruntergeladen werden: https://packages.gitlab.com/gpg.key.

Weitere Unterstützung benötigt?

Eine Issue im omnibus-gitlab Issue Tracker öffnen.