ERRORE: impossibile verificare una o più firme PGP, arch linux


22

Di recente sono passato a una distro chiamata Manjaro basata su arch .

Ho dei problemi con l'installazione di alcuni pacchetti dal repository aur arch

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Cosa devo fare per risolvere questo problema?

Risposte:


31

Una volta che hai una coppia di chiavi gpg locale, puoi importare la chiave sconosciuta nel tuo set di chiavi degli utenti locali. Nel mio caso, la chiave 5CC908FDB71E12C2deve essere importata come segue.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <daniel@haxx.se>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys ID chiave: importa le chiavi con gli ID chiave fornite da un server di chiavi.

Se quanto sopra fallisce potrebbe essere necessario generare un keystore / database gpg locale.

I passaggi seguenti potrebbero non essere più necessari poiché il passaggio precedente ora crea un database di chiavi locale per l'utente. Questo dipende dalla tua distribuzione, gpgversione e configurazione.

Se non si dispone già di un gpgdatabase di chiavi per l'utente locale.

gpg --generate-key 

o

gpg --full-gen-key 

Cosa dicono i documenti.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.

È sicuro? Tipo, non aggiungendo chiavi casuali ogni volta che devi, sconfiggi lo scopo ...?
jcora,

4
@jcora. Questi tasti consentono di installare il software desiderato. Devi decidere se è sicuro. Queste sono chiavi di terze parti per verificare che il software che hanno creato in AUR provenga effettivamente da esse. Esiste la possibilità che un pacchetto in AUR o da qualche parte abbia un codice dannoso sì. Ciò richiede che ti fidi della persona che crea il pacchetto. Oltre a ciò, le chiavi verificano che nessun altro abbia modificato il pacchetto ricevuto. Devi prendere la decisione e valutare il rischio.
nelaaro,

bene ero confuso perché di solito le chiavi per i pacchetti AUR sono già automaticamente incluse nel mio sistema. Sto fraintendendo qualcosa?
jcora,

Sto usando la distribuzione Manjor, che probabilmente era obsoleta e causa problemi per me.
nelaaro,

1
@EnricoMariaDeAngelis le chiavi gpg locali non sono inizializzate, non hai un portachiavi che è solo un file che memorizza un elenco di chiavi che hai importato / accettato. --full-gen-keyassicura che tutti i file vengano creati affinché tu possa importare le chiavi nel tuo portachiavi locale.
nelaaro,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.