web-dev-qa-db-fra.com

Debian. Comment puis-je obtenir en toute sécurité debian-archive-keyring, afin de pouvoir faire une mise à jour apt-get? NO_PUBKEY

J'ai une prise 22 essayant de:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

À http://wiki.debian.org/SecureApt#Other_problems il note le problème NO_PUBKEY "signifie que l'archive a commencé à être signée par une nouvelle clé, que votre système ne connaît pas ... et une fois que le système aura reçu la nouvelle clé (en mettant à niveau le paquet debian-archive-keyring), l'avertissement disparaîtra "

D'accord, mais de façon perverse:

   apt-get install debian-archive-keyring 

donne moi:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

et la solution pour cela est de faire une mise à jour apt-get

Il y a un trou dans le seau, chère Liza.

Quelqu'un peut-il rompre le cycle pour moi?

-

Remarque: ma /etc/apt/sources.list est:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
16
David Bullock

Quelqu'un peut-il rompre le cycle pour moi?

Vous rencontrez simplement le standard problème d'amorçage pour cryptographie à clé publique .

Il existe de nombreux endroits où vous pouvez télécharger les clés publiques pour les diverses archives, mais souvent elles ne sont pas fournies via HTTPS, et tous les fichiers de somme de contrôle sont fournis à partir du même emplacement.

Ce lien wiki que vous avez fourni des liens vers https://ftp-master.debian.org/keys.html qui fournit une copie des clés que vous pouvez télécharger via SSL. Le problème est bien sûr que le certificat pour ftp-master.debian.org est signé par ca.debian.org, qui n'est pas distribué avec les navigateurs Web les plus courants.

Il vous suffit de trouver un moyen d'obtenir une copie de debian-archive-keyring, ou la clé actuelle du système auquel vous faites confiance, et de l'installer sur votre système. Si vous êtes vraiment paranoïaque, vous devrez peut-être récupérer une copie de l'archive et demander à quelqu'un d'autre de récupérer une copie d'un autre miroir sur un ordinateur différent sur un réseau différent. Comparez ensuite les sommes de contrôle.

Si vous n'êtes pas extrêmement paranoïaque ou dans un environnement de haute sécurité, laissez simplement apt-get install debian-archive-keyring installez et ignorez l'avertissement.

Il faudrait beaucoup d'efforts pour que quelqu'un installe un MITM entre vous et le miroir aléatoire http.us.debian.org. Une fois cela fait, ils devraient créer leur propre paquet debian-archive-keyring personnalisé, y compris leur mauvaise clé en plus des clés standard. Ensuite, ils devraient reconstruire certains packages pour vous forcer à installer quelque chose de mal sur votre système. L'effort requis ne serait pas anodin.

Debian fait généralement un très bon travail en ajoutant des clés qui seront utilisées à l'avenir pour signer les paquets dans le paquet debian-archive-keyring. C'est un package que vous voulez vraiment garder à jour. De cette façon, vous taperez les clés installées avant qu'elles ne soient utilisées pour signer des choses, et vous n'aurez plus ce problème à l'avenir.

13
Zoredache

Votre problème est que vous n'avez pas également installé le trousseau de clés Debian. Exécutez simplement ce qui suit:

apt-get install debian-keyring
apt-get install debian-archive-keyring

C'est ça.

12
fireboy

Debian - Apt-get: erreur NO_PUBKEY/GPG

Sur les ordinateurs basés sur un système d'exploitation Debian qui utilise le noyau Linux, des messages d'erreur peuvent apparaître comme 'NO_PUBKEY', ce qui se produit lors de l'utilisation de l'outil de ligne de commande Apt-Get et cette erreur est associée à la fonction de mise à jour de l'outil. La nouvelle fonctionnalité de l'outil de gestion de paquets Apt-Get garantit l'authenticité du serveur avant de mettre à jour le système d'exploitation Debian. C'est pourquoi l'erreur "NO_PUBKEY" apparaît. Ce problème peut être résolu en entrant les commandes appropriées.

Tapez simplement les commandes suivantes, en prenant soin de remplacer le numéro ci-dessous par celui de la clé qui était affichée dans le message d'erreur:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | Sudo apt-key add -
5
Chaminda Bandara

Deux choses:

  1. Votre fichier sources.list est peut-être incorrect; êtes-vous sûr que ce sont les bonnes lignes pour ces dépôts?

  2. Vous devrez localiser manuellement les fichiers Release.gpg sur ces dépôts et mettre à jour le trousseau de clés:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Vous pourriez jouer avec le feu en mélangeant Lenny avec le repo stable

4
thinice
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
1
rush

La bonne chose à faire est de ne pas vous soucier d'obtenir la clé de votre machine en toute sécurité, mais de pouvoir vérifier avec précision votre chemin de confiance vers la clé une fois que vous l'avez sur votre machine. Cela signifie que vous voulez trouver une chaîne de signatures où votre clé gpg a été utilisée pour signer la clé de quelqu'un qui a été utilisée pour signer la clé de quelqu'un ... afin que vous trouviez finalement quelqu'un qui a signé la clé d'archive.

Ce serait évidemment fastidieux si vous essayez de le faire à la main si vous êtes à plus de quelques pas de la clé. wotsap est un package qui vous aidera à découvrir les chemins de votre clé vers les clés des personnes qui ont directement signé la clé d'archive.

Tout cela dépend de votre possession d'une clé gpg et de votre participation à la signature des clés gpg, ce qui est absolument essentiel si vous voulez vraiment le faire correctement.

1
stew