Eu estou tentando construir meu próprio kernel usando um processo automatizado, e gostaria de ter certeza de que meu pacotes de origem são verificados. Quando vou instalar um pacote fonte, tenho visto erros semelhantes a este:
gpgv: Signature made Fri Jan 6 17:10:11 2017 UTC using RSA key ID FDCE24FC
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux-meta_4.4.0.59.62.dsc
dpkg-source: info: extracting linux-meta in linux-meta-4.4.0.59.62
dpkg-source: info: unpacking linux-meta_4.4.0.59.62.tar.gz
Eu já vi esse erro antes, mas não encontrei uma solução ideal para ele. Quando procuro por essa chave nos servidores de chaves, vejo o seguinte:
$ gpg --keyserver keyserver.ubuntu.com --search FDCE24FC
gpg: searching for "FDCE24FC" from hkp server keyserver.ubuntu.com
(1) Luis Henriques <[email protected]>
Luis Henriques <[email protected]>
Luis Henriques <[email protected]>
Luis Henriques <[email protected]>
4096 bit RSA key FDCE24FC, created: 2011-12-10
(2) Luis Henriques <[email protected]>
4096 bit RSA key FDCE24FC, created: 2014-06-16 (revoked)
Esta é a chave pessoal de alguém, em vez de uma chave de assinatura de release compartilhado de upstream esperada.
Existe uma maneira de buscar todas as chaves dos mantenedores do pacote fonte no chaveiro do apt? Gostaria de ter algum tipo de verificação sobre se o meu pacote de código-fonte é um pacote de código-fonte válido e não vinculado.
A Canonical mantém um pacote que contém todas as chaves PGP dos usuários upstream? Existe uma solução automatizável para isso? Como esses arquivos provavelmente estão sendo entregues via HTTP, não tenho garantias quanto à verdadeira origem deles, e isso é muito importante quando se lida com pacotes do kernel.