Debian. Como posso obter com segurança o keyring debian-archive, para que eu possa fazer uma atualização do apt-get? NO_PUBKEY

15

Eu tenho uma pegadinha 22 tentando:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Em link ele observa o problema NO_PUBKEY "significa que o arquivo começou a ser assinado por uma nova chave, que seu o sistema não sabe sobre ... e uma vez que o sistema é alimentado com a nova chave (atualizando o pacote debian-archive-keyring), o aviso irá embora "

OK, mas perversamente:

   apt-get install debian-archive-keyring 

me dá:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

e a solução para isso é fazer uma atualização do apt-get

Há um buraco no balde, querida 'liza.

Alguém pode quebrar o ciclo para mim?

-

Nota: meu /etc/apt/sources.list é:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
    
por David Bullock 03.12.2011 / 06:21

6 respostas

14

Can anyone break the cycle for me?

Você está basicamente experimentando o problema de bootstrap padrão para criptografia de chave pública .

Existem muitos locais onde você pode baixar as chaves públicas dos vários arquivos, mas freqüentemente eles não são fornecidos por HTTPS, e qualquer arquivo de soma de verificação é entregue no mesmo local.

Esse link do wiki forneceu links para o link que fornece uma cópia das chaves que você pode baixar SSL. O problema, claro, é que o certificado para ftp-master.debian.org é assinado por ca.debian.org, que não é distribuído com os navegadores mais comuns.

Você basicamente tem que encontrar uma maneira de obter uma cópia do keyring debian-archive, ou a chave atual do sistema em que você confia, e instalá-lo em seu sistema. Se você é realmente paranóico, você pode ter que pegar uma cópia do arquivo e fazer com que outra pessoa pegue uma cópia de outro espelho em um computador diferente em uma rede diferente. Em seguida, compare os checksums.

Se você não é extremamente paranóico ou em um ambiente de alta segurança, deixe apt-get install debian-archive-keyring install e ignore o aviso.

Seria preciso muito esforço para alguém configurar um MITM entre você e o espelho aleatório http.us.debian.org. Uma vez que eles fizeram isso, eles teriam que construir seu próprio pacote de chaveiro debian-archive-key, incluindo sua chave maligna, além das chaves padrão. Então eles teriam que reconstruir alguns pacotes para forçá-lo a instalar algo maligno em seu sistema. O esforço envolvido não seria trivial.

Geralmente o Debian faz um bom trabalho ao adicionar chaves que serão usadas para assinar os pacotes no futuro para o pacote debian-archive-keyring. Esse é um pacote que você realmente quer manter atualizado. Dessa forma, você irá digitar as chaves instaladas antes de serem usadas para assinar as coisas, e você não terá esse problema no futuro.

    
por 03.12.2011 / 06:50
11

O seu problema é que você não instalou o chaveiro debian também. Basta executar o seguinte:

apt-get install debian-keyring
apt-get install debian-archive-keyring

É isso.

    
por 04.05.2012 / 01:10
4

Duas coisas:

  1. Seu arquivo sources.list pode estar incorreto; Tem certeza de que essas são as linhas certas para essas recompras?

  2. Você terá que localizar manualmente os arquivos Release.gpg nesses repos e atualizar o chaveiro:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Você pode estar brincando com fogo misturando lenny com o repositório estável

    
por 03.12.2011 / 06:34
4

Erro do Debian - Apt-get: NO_PUBKEY / GPG

Em computadores baseados em um sistema operacional Debian que usa o kernel do Linux, mensagens de erro podem aparecer como 'NO_PUBKEY'. Isso acontece ao usar a ferramenta de linha de comando Apt-Get e este erro está associado ao recurso de atualização da ferramenta. O novo recurso da ferramenta de gerenciamento de pacotes Apt-Get garante a autenticidade do servidor antes de atualizar o sistema operacional Debian. É por isso que o erro 'NO_PUBKEY' aparece. Este problema pode ser resolvido digitando os comandos apropriados.

Basta digitar os seguintes comandos, tomando o cuidado de substituir o número abaixo pelo da chave exibida na mensagem de erro:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
    
por 07.03.2016 / 06:41
1
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
    
por 03.12.2011 / 09:33
1

A coisa certa a fazer é não se preocupar em obter a chave para a sua máquina de forma segura, mas ser capaz de verificar com precisão o seu caminho de confiança para a chave depois de tê-lo em sua máquina. Isso significa que você deseja encontrar uma cadeia de assinaturas em que sua chave gpg foi usada para assinar a chave de alguém que foi usada para assinar a chave de alguém ... para que você encontre alguém que tenha assinado a chave de arquivamento.

Isso obviamente seria tedioso se você tentasse fazer isso manualmente se estivesse a mais de alguns passos da chave. O wotsap é um pacote que o ajudará a descobrir caminhos da sua chave para as chaves das pessoas que assinaram diretamente a chave de arquivo.

Tudo isso se baseia em você ter uma chave gpg e participar de uma atribuição de chaves gpg, o que é absolutamente essencial se você quiser realmente fazer isso corretamente.

    
por 10.12.2011 / 14:41