Debian. Wie kann ich sicher den debian-archive-keyring bekommen, damit ich ein passendes Update machen kann? NO_PUBKEY

16

Ich habe einen Haken 22, der versucht:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Unter http://wiki.debian.org/SecureApt#Other_problems wird das NO_PUBKEY-Problem vermerkt. "Bedeutet, dass das Archiv mit einem neuen Schlüssel signiert wurde, von dem Ihr System nichts weiß ... und sobald das System mit dem" NO_PUBKEY "gefüttert wurde neuer Schlüssel (durch Upgraden des debian-archive-keyring-Pakets), die Warnung verschwindet "

OK, aber pervers: 

   apt-get install debian-archive-keyring

gibt mir:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

und die Lösung dafür ist, ein passendes Update durchzuführen

Da ist ein Loch im Eimer, liebe Liza.

Kann mir jemand den Kreislauf durchbrechen?

-

Hinweis: Meine /etc/apt/sources.list ist:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
debian apt public-key David Bullock
quelle
1
Wenn du bei Lenny bleiben willst, solltest du stablemit lennyauf dem tauschen http.us.debian.org. Ihre aktuelle sources.list wird wahrscheinlich zu einem Systemausfall führen. Wenn Sie auf Squeeze upgraden möchten, sollten Sie alle stable/lennyReferenzen ersetzen und verwenden squeeze.
Zoredache

Antworten:

13

Kann mir jemand den Kreislauf durchbrechen?

Grundsätzlich tritt nur das Standard- Bootstrapping-Problem für die Kryptografie mit öffentlichen Schlüsseln auf .

Es gibt viele Orte, an denen Sie die öffentlichen Schlüssel für die verschiedenen Archive herunterladen können. Häufig werden sie jedoch nicht über HTTPS bereitgestellt, und alle Prüfsummendateien werden vom selben Speicherort geliefert.

Dieser Wiki-Link, den Sie angegeben haben, verweist auf https://ftp-master.debian.org/keys.html. Dort finden Sie eine Kopie der Schlüssel, die Sie über SSL herunterladen können. Das Problem ist natürlich, dass das Zertifikat für ftp-master.debian.org von ca.debian.org signiert ist, das nicht mit den gängigsten Webbrowsern verbreitet wird.

Sie müssen nur einen Weg finden, um eine Kopie von debian-archive-keyring oder den aktuellen Schlüssel von dem System zu erhalten, dem Sie vertrauen, und ihn auf Ihrem System zu installieren. Wenn Sie wirklich paranoid sind, müssen Sie möglicherweise eine Kopie des Archivs abrufen und eine Kopie von einem anderen Spiegel auf einem anderen Computer über ein anderes Netzwerk abrufen. Vergleichen Sie dann die Prüfsummen.

Wenn Sie nicht extrem paranoid sind oder sich in einer Hochsicherheitsumgebung befinden, lassen Sie die apt-get install debian-archive-keyringInstallation einfach zu und ignorieren Sie die Warnung.

Es wäre sehr aufwändig, wenn jemand eine MITM zwischen Ihnen und dem zufälligen http.us.debian.org-Spiegel einrichten würde. Sobald sie das getan hatten, mussten sie ihr eigenes benutzerdefiniertes Paket debian-archive-keyring erstellen, das zusätzlich zu den Standardschlüsseln ihren bösen Schlüssel enthielt. Dann müssten sie einige Pakete neu erstellen, um Sie zu zwingen, etwas Böses auf Ihrem System zu installieren. Der Aufwand wäre nicht trivial.

Debian leistet im Allgemeinen gute Arbeit, wenn es darum geht, dem Paket debian-archive-keyring Schlüssel hinzuzufügen, mit denen die Pakete in Zukunft signiert werden. Das ist ein Paket, das Sie wirklich auf dem Laufenden halten möchten. Auf diese Weise geben Sie die installierten Schlüssel ein, bevor sie zum Signieren verwendet werden. Dieses Problem tritt in Zukunft nicht mehr auf.

Zoredache
quelle
Ja, Chrome hat mich wegen des nicht vertrauenswürdigen SSL-Zertifikats-Unterzeichners sehr überlastet. Seufzer.
David Bullock
1
PS.FYI. Der aktuelle Fingerabdruck, den ich für den Squeeze-Signaturschlüssel habe, ist 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9und Lenny ist 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6.
Zoredache
Nun, meine hypothetischen Feinde sind einflussreich, daher ist es keine große Sache, dass das SSL-Zertifikat für ftp-master.debian.org nicht von einer der gefährdeten Zertifizierungsstellen signiert ist, die mein Browser standardmäßig als vertrauenswürdig einstuft. Also habe ich das Convergence-Plugin von Moxie Marlinspike für Firefox bekommen. Zumindest glaube ich, dass er keine Probleme hatte, das von mir installierte Add-On zu signieren, und Firefox stürzte ab, als ich es installierte. Ich habe keine Ahnung, ob die Standard-Notarserver zuverlässig sind, aber sie scheinen zuzustimmen, dass es sich bei der wichtigsten Website um die gleiche handelt, die ich gerade betrachte. Aber wahrscheinlich haben meine Feinde bereits Debian kompromittiert. Also zum Teufel, ich gehe mit.
David Bullock
Danke für den Fingerabdruck. Irgendwie vertraue ich zu Recht oder zu Unrecht jemandem, der seine Zeit aufgibt, um einem Fremden zu helfen.
David Bullock
1
Sie können sie aus der mit pgp-Schlüsseldatenbank herunterladen, wenn Sie sie nicht gerne aus den Archiven holen. http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
Zoredache
10

Ihr Problem ist, dass Sie auch keinen Debian-Schlüsselbund installiert haben. Führen Sie einfach Folgendes aus:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Das ist es.

Feuerjunge
quelle
Ich kann bestätigen, dass dies funktioniert
bis
debian-keyringhat nichts mit der Installation von Paketen zu tun .
X-Yuri
5

Debian - Apt-get: NO_PUBKEY / GPG-Fehler

Auf Computern, die auf einem Debian-Betriebssystem basieren, das den Linux-Kernel verwendet, können Fehlermeldungen wie "NO_PUBKEY" angezeigt werden. Dies geschieht während der Verwendung des Befehlszeilentools "Apt-Get", und dieser Fehler ist mit der Aktualisierungsfunktion des Tools verbunden. Die neue Funktion im Apt-Get-Paketverwaltungstool garantiert die Authentizität des Servers, bevor das Debian-Betriebssystem aktualisiert wird. Aus diesem Grund wird der Fehler "NO_PUBKEY" angezeigt. Dieses Problem kann durch Eingeben der entsprechenden Befehle behoben werden.

Geben Sie einfach die folgenden Befehle ein und achten Sie darauf, die unten stehende Nummer durch die des Schlüssels zu ersetzen, der in der Fehlermeldung angezeigt wurde:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Chaminda Bandara
quelle
Ich habe oben die Lösung ausprobiert und das hat bei mir funktioniert. Das Problem wurde behoben.
Chaminda Bandara
4

Zwei Dinge:

  1. Ihre sources.list-Datei ist möglicherweise falsch. Sind Sie sicher, dass dies die richtigen Zeilen für diese Repos sind?

  2. Sie müssen die Release.gpg-Dateien auf diesen Repos manuell suchen und den Schlüsselring aktualisieren:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Sie könnten mit dem Feuer spielen, indem Sie Lenny mit dem Stallrepo mischen

dünnes Eis
quelle
Bei Nummer 1 bin ich mir nicht sicher. Ich habe folgende Anweisungen an spinifex.com.au/plugs/dphowtos.html#debian aber die Linie „deb backports.org/debian squeeze-updates main contrib non-free“ Download Fehler gab, so blind zu folgen updates-master.debian .org / Instructions Ich habe es in "deb backports.debian.org/debian-backports squeeze-backports main" geändert . Jetzt habe ich es als "deb backports.debian.org/debian-backports lenny-backports main contrib non-free" ... ist das besser? (Ich hasse es mit dem Feuer zu spielen). Erhalten Sie immer noch 'NO_PUBKEY', also machen Sie Ihre # 2.
David Bullock
1 
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
eilen
quelle
1

Das Richtige ist, sich keine Sorgen darüber zu machen, dass der Schlüssel sicher auf Ihrem Computer gespeichert wird, sondern dass Sie Ihren Vertrauenspfad zum Schlüssel genau überprüfen können, sobald Sie ihn auf Ihrem Computer haben. Dies bedeutet, dass Sie eine Signaturkette suchen möchten, in der Ihr gpg-Schlüssel zum Signieren des Schlüssels einer anderen Person verwendet wurde, mit dem der Schlüssel einer anderen Person signiert wurde. So finden Sie schließlich jemanden, der den Archivschlüssel signiert hat.

Dies wäre natürlich mühsam, wenn Sie dies von Hand versuchen würden, wenn Sie mehr als ein paar Schritte vom Schlüssel entfernt sind. wotsap ist ein Paket, mit dem Sie Pfade von Ihrem Schlüssel zu den Schlüsseln der Personen ermitteln können, die den Archivschlüssel direkt signiert haben.

Dies alles setzt voraus, dass Sie einen gpg-Schlüssel haben und am gpg-Keysigning teilnehmen. Dies ist absolut notwendig, wenn Sie dies wirklich korrekt tun möchten.

Eintopf
quelle