Debian. Come posso ottenere in modo sicuro debian-archive-keyring, in modo da poter fare un aggiornamento apt-get? NO_PUBKEY

16

Ho un problema 22 cercando di:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

A http://wiki.debian.org/SecureApt#Other_problems rileva il problema NO_PUBKEY "significa che l'archivio ha iniziato a essere firmato da una nuova chiave, di cui il sistema non è a conoscenza ... e una volta che il sistema è alimentato dal nuova chiave (aggiornando il pacchetto debian-archive-keyring), l'avviso sparirà "

OK, ma perversamente: 

   apt-get install debian-archive-keyring

mi da:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

e la soluzione è quella di fare un aggiornamento apt-get

C'è un buco nel secchio, cara 'liza.

Qualcuno può interrompere il ciclo per me?

-

Nota: la mia /etc/apt/sources.list è:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
debian  apt  public-key 
David Bullock
fonte
1
Se si vuole attaccare con Lenny, allora si dovrebbe sostituire stablecon lennyil http.us.debian.org. La tua attuale fonte.list probabilmente si tradurrà in un sistema rotto. Se si desidera eseguire l'aggiornamento a squeeze, è necessario sostituire tutti i stable/lennyriferimenti e utilizzare squeeze.
Zoredache,

Risposte:

13

Qualcuno può interrompere il ciclo per me?

Fondamentalmente stai riscontrando solo il problema di bootstrap standard per la crittografia a chiave pubblica .

Esistono molti luoghi in cui è possibile scaricare le chiavi pubbliche per i vari archivi, ma spesso non vengono fornite su HTTPS e tutti i file di checksum vengono recapitati dalla stessa posizione.

Quel link wiki che hai fornito collega a https://ftp-master.debian.org/keys.html che ha una copia delle chiavi che puoi scaricare su SSL. Il problema ovviamente è che il certificato per ftp-master.debian.org è firmato da ca.debian.org, che non è distribuito con i browser Web più comuni.

Fondamentalmente devi solo trovare un modo per ottenere una copia del debian-archive-keyring, o la chiave corrente dal sistema di cui ti fidi, e installarlo sul tuo sistema. Se sei davvero paranoico, potresti dover prendere una copia dell'archivio e avere qualcun altro prendere una copia da un altro mirror su un computer diverso su una rete diversa. Quindi confrontare i checksum.

Se non sei estremamente paranoico o in un ambiente ad alta sicurezza, lascia semplicemente apt-get install debian-archive-keyringinstallare e ignora l'avviso.

Ci vorrebbe molto impegno per qualcuno per impostare un MITM tra te e il mirror casuale di http.us.debian.org. Una volta fatto ciò, avrebbero dovuto creare il proprio pacchetto personalizzato di debian-archive-keyring includendo la loro chiave malvagia oltre alle chiavi standard. Quindi dovrebbero ricostruire alcuni pacchetti per costringerti a installare qualcosa di malvagio sul tuo sistema. Lo sforzo in questione non sarebbe banale.

Debian generalmente fa un buon lavoro aggiungendo le chiavi che verranno usate in futuro per firmare i pacchetti nel pacchetto debian-archive-keyring. Questo è un pacchetto che vuoi davvero mantenere aggiornato. In questo modo, dovrai digitare le chiavi installate prima che vengano utilizzate per firmare le cose e non avrai questo problema in futuro.

Zoredache
fonte
Sì, Chrome mi ha dato un grosso avviso a causa del fatto che il firmatario del certificato SSL non è affidabile. Sospiro.
David Bullock,
1
PS.FYI. L'attuale impronta digitale che ho per la chiave di firma di compressione è 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9e Lenny lo è 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6.
Zoredache,
Bene, i miei ipotetici nemici sono influenti, quindi non è un grosso problema che il certificato SSL per ftp-master.debian.org non sia firmato da una delle CA compromesse di cui il mio browser si fida immediatamente. Quindi ho ottenuto il plugin Convergence di Moxie Marlinspike per Firefox. Almeno penso di averlo fatto - non ha avuto problemi a firmare il componente aggiuntivo che ho installato e si è bloccato in Firefox quando l'ho installato. Non ho idea se i server notarili predefiniti siano affidabili, ma sembrano concordare sul fatto che il sito Web chiave è lo stesso che sto guardando. Ma probabilmente i miei nemici hanno già compromesso Debian. Quindi diamine, ci vado.
David Bullock,
Grazie per l'impronta digitale. In qualche modo, a ragione o in torto, mi fido di qualcuno che rinuncia al proprio tempo per aiutare uno sconosciuto.
David Bullock,
1
Potresti ottenerli dal database delle chiavi mit pgp, se non ti piace afferrarli dagli archivi. http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
Zoredache,
10

Il tuo problema è che non hai installato anche il debian-keyring. Esegui semplicemente quanto segue:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Questo è tutto.

Fireboy
fonte
Posso confermare che funziona
aexl
debian-keyringnon ha nulla a che fare con l'installazione di pacchetti.
X-Yuri,
5

Debian - Apt-get: errore NO_PUBKEY / GPG

Nei computer basati su un sistema operativo Debian che utilizza il kernel Linux, i messaggi di errore possono apparire come 'NO_PUBKEY'.Questo accade quando si utilizza lo strumento da riga di comando Apt-Get e questo errore è associato alla funzione di aggiornamento dello strumento. La nuova funzionalità nello strumento di gestione dei pacchetti Apt-Get garantisce l'autenticità del server prima di aggiornare il sistema operativo Debian. Ecco perché viene visualizzato l'errore "NO_PUBKEY". Questo problema può essere risolto digitando i comandi appropriati.

Digita semplicemente i seguenti comandi, avendo cura di sostituire il numero seguente con quello della chiave visualizzata nel messaggio di errore:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Chaminda Bandara
fonte
Ho sperimentato la soluzione sopra e questo ha funzionato per me. Risolto il problema
Chaminda Bandara,
4

Due cose:

  1. Il tuo file sources.list potrebbe essere errato; sei sicuro che quelle siano le linee giuste per quei repository?

  2. Dovrai localizzare manualmente i file Release.gpg su quei repository e aggiornare il keyring:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Potresti giocare con il fuoco mescolando lenny con il repository stabile

ghiaccio sottile
fonte
Non sono sicuro del numero 1. Stavo seguendo le istruzioni su spinifex.com.au/plugs/dphowtos.html#debian ma la riga "deb backports.org/debian lenny-backports main contrib non-free" stava dando errori di download, quindi seguendo ciecamente backports-master.debian .org / Istruzioni L' ho cambiato in "deb backports.debian.org/debian-backports squeeze-backports main". Ora l'ho come "deb backports.debian.org/debian-backports lenny-backports main contrib non-free" ... è meglio? (Odio giocare con il fuoco). Ottieni comunque "NO_PUBKEY", quindi farà il tuo numero 2.
David Bullock,
1 
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
corsa
fonte
1

La cosa giusta da fare è non preoccuparsi di ottenere la chiave della macchina in modo sicuro, ma di essere in grado di controllare accuratamente il percorso di fiducia della chiave una volta che la si dispone sulla macchina. Questo significa che vuoi trovare una catena di firme in cui la tua chiave gpg è stata usata per firmare la chiave di qualcuno che è stata usata per firmare la chiave di qualcuno ... in modo che alla fine trovi qualcuno che ha firmato la chiave di archivio.

Questo sarebbe ovviamente noioso se dovessi provare a farlo a mano se sei a più di un paio di passi dalla chiave. wotsap è un pacchetto che ti aiuterà a scoprire i percorsi dalla tua chiave alle chiavi delle persone che hanno firmato direttamente la chiave di archivio.

Tutto questo si basa sul fatto che hai una chiave gpg e partecipi alla firma di gpg, che è assolutamente essenziale se vuoi davvero farlo correttamente.

stufato
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.