Debian. Jak mogę bezpiecznie uzyskać pakiet kluczy archiwum debian, aby móc wykonać aktualizację apt-get? NO_PUBKEY

Mam haczyk 22 próbujący:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Na stronie http://wiki.debian.org/SecureApt#Other_problems odnotowano problem NO_PUBKEY ”oznacza, że ​​archiwum zaczęło być podpisywane nowym kluczem, o którym twój system nie wie ... a kiedy system zostanie zasilony, nowy klucz (poprzez aktualizację pakietu debian-archive-keyring) ostrzeżenie zniknie ”

OK, ale przewrotnie:

   apt-get install debian-archive-keyring 

daje mi:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

i rozwiązaniem tego jest aktualizacja apt-get

W wiadrze jest dziura, droga Liza.

Czy ktoś może przerwać dla mnie cykl?

-

Uwaga: mój /etc/apt/sources.list to:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free

Czy ktoś może przerwać dla mnie cykl?

Zasadniczo masz do czynienia ze standardowym problemem ładowania początkowego w przypadku kryptografii klucza publicznego .

Istnieje wiele miejsc, w których można pobrać klucze publiczne dla różnych archiwów, ale często nie są one udostępniane przez HTTPS, a wszelkie pliki sum kontrolnych są dostarczane z tej samej lokalizacji.

Ten link wiki, który podałeś, prowadzi do https://ftp-master.debian.org/keys.html, który zawiera kopię kluczy, które możesz pobrać przez SSL. Problem polega oczywiście na tym, że certyfikat ftp-master.debian.org jest podpisany przez ca.debian.org, który nie jest dystrybuowany z najpopularniejszymi przeglądarkami internetowymi.

Zasadniczo musisz po prostu znaleźć sposób na uzyskanie kopii pliku debian-archive-keyring lub bieżącego klucza z zaufanego systemu i zainstalowanie go w systemie. Jeśli jesteś naprawdę paranoikiem, być może będziesz musiał pobrać kopię archiwum i poprosić kogoś innego o pobranie kopii z innego serwera lustrzanego na innym komputerze za pośrednictwem innej sieci. Następnie porównaj sumy kontrolne.

Jeśli nie jesteś wyjątkowo paranoikiem lub w środowisku o wysokim poziomie bezpieczeństwa, po prostu pozwól apt-get install debian-archive-keyringzainstalować i zignoruj ​​ostrzeżenie.

Ustawienie MITM między tobą a jakimś losowym serwerem lustrzanym http.us.debian.org wymagałoby wiele wysiłku. Gdy to zrobią, będą musieli zbudować własny pakiet debian-archiwum-kluczy, w tym swój zły klucz oprócz standardowych kluczy. Następnie musieliby odbudować niektóre pakiety, aby zmusić cię do zainstalowania czegoś złego w twoim systemie. Wysiłek nie byłby trywialny.

Debian ogólnie robi całkiem niezłą robotę, dodając klucze, które będą używane do podpisywania pakietów w przyszłości do pakietu debian-archive-keyring. To jest jeden pakiet, który naprawdę chcesz być na bieżąco. W ten sposób klucze zostaną zainstalowane przed użyciem ich do podpisywania rzeczy i nie będziesz mieć tego problemu w przyszłości.

Twój problem polega na tym, że nie zainstalowałeś również kluczy do debiana. Po prostu uruchom następujące polecenie:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Otóż ​​to.

Debian - Apt-get: Błąd NO_PUBKEY / GPG

Na komputerach opartych na systemie operacyjnym Debian, który korzysta z jądra Linux, mogą pojawić się komunikaty o błędach, takie jak „NO_PUBKEY”. Dzieje się tak podczas korzystania z narzędzia wiersza polecenia Apt-Get, a błąd ten jest związany z funkcją aktualizacji tego narzędzia. Nowa funkcja narzędzia do zarządzania pakietami Apt-Get gwarantuje autentyczność serwera przed aktualizacją systemu operacyjnego Debian. Dlatego pojawia się błąd „NO_PUBKEY”. Ten problem można rozwiązać, wpisując odpowiednie polecenia.

Wystarczy wpisać następujące polecenia, zwracając uwagę na zastąpienie poniższej liczby numerem klawisza wyświetlanego w komunikacie o błędzie:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -

Dwie rzeczy:

1. Twój plik sources.list może być niepoprawny; czy jesteś pewien, że są to odpowiednie linie dla tych repozytoriów?

2. Musisz ręcznie zlokalizować pliki Release.gpg na tych repozytoriach i zaktualizować brelok:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Możesz bawić się ogniem mieszając Lenny ze stabilnym repo

apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY

Właściwe jest, aby nie martwić się o bezpieczne dostarczenie klucza do komputera, ale być w stanie dokładnie sprawdzić ścieżkę zaufania do klucza, gdy już go masz na komputerze. Oznacza to, że chcesz znaleźć ciąg sygnatur, w których klucz gpg został użyty do podpisania czyjegoś klucza, który został użyty do podpisania czyjegoś klucza ... abyś w końcu znalazł osobę, która podpisała klucz archiwum.

Byłoby to oczywiście uciążliwe, gdybyś spróbował to zrobić ręcznie, jeśli dzieli Cię więcej niż kilka kroków od klucza. wotsap to pakiet, który pomoże ci odkryć ścieżki od klucza do kluczy osób, które bezpośrednio podpisały klucz archiwum.

Wszystko zależy od tego, czy masz klucz gpg i uczestniczysz w znakowaniu gpg, co jest absolutnie niezbędne, jeśli naprawdę chcesz to zrobić poprawnie.