FEHLER: Eine oder mehrere PGP-Signaturen konnten unter Linux nicht überprüft werden

22

Ich bin vor kurzem zu einer auf Arch basierenden Distribution namens Manjaro gewechselt .

Ich habe Probleme beim Installieren einiger Pakete aus dem Aur Arch Repository

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Was muss ich tun, um dies zu beheben?

Nelaaro
quelle

Antworten:

31

Sobald Sie ein lokales GPG-Schlüsselpaar haben, können Sie den unbekannten Schlüssel in den Schlüsselsatz Ihrer lokalen Benutzer importieren. In meinem Fall muss der Schlüssel 5CC908FDB71E12C2wie folgt importiert werden.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys key IDs: Importiert die Schlüssel mit den angegebenen Schlüssel-IDs von einem Keyserver.

Wenn dies fehlschlägt, müssen Sie möglicherweise einen lokalen GPG-Keystore / eine lokale GPG-Datenbank erstellen.

Die folgenden Schritte sind möglicherweise nicht mehr erforderlich, da mit dem obigen Schritt eine lokale Schlüsseldatenbank für Sie erstellt wird. Dies hängt von Ihrer Distribution, gpgVersion und Konfiguration ab.

Wenn Sie noch keine gpgSchlüsseldatenbank für Ihren lokalen Benutzer haben.

gpg --generate-key 

oder

gpg --full-gen-key 

Was sagen die Docs?

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.
Nelaaro
quelle
Ist das sicher? Fügt man nicht zufällige Schlüssel hinzu, wann immer man muss, um den Zweck zu vereiteln ...?
Jcora
4
@jcora. Mit diesen Schlüsseln können Sie die gewünschte Software installieren. Sie müssen entscheiden, ob es sicher ist. Hierbei handelt es sich um Drittanbieter-Schlüssel, mit denen überprüft wird, ob die von ihnen in AUR erstellte Software tatsächlich von ihnen stammt. Gibt es die Möglichkeit, dass ein Paket in AUR oder irgendwo mit bösartigem Code Ja. Was erfordert, dass Sie der Person vertrauen, die das Paket erstellt. Darüber hinaus überprüfen die Schlüssel, ob das erhaltene Paket von niemand anderem geändert wurde. Sie müssen die Entscheidung treffen und das Risiko bewerten.
Nelaaro
Nun, ich war verwirrt, weil normalerweise die Schlüssel für AUR-Pakete bereits automatisch in meinem System enthalten sind. Verstehe ich etwas falsch?
JCORA
Ich benutze die Manjor-Distribution, die wahrscheinlich veraltet war und mir Probleme bereitet.
Nelaaro
1
@EnricoMariaDeAngelis Die lokalen GPG-Schlüssel sind nicht initialisiert. Sie haben keinen Schlüsselbund. Dies ist lediglich eine Datei, in der eine Liste der von Ihnen importierten / akzeptierten Schlüssel gespeichert ist. --full-gen-keystellt sicher, dass alle Dateien erstellt werden, damit Sie Schlüssel in Ihren lokalen Schlüsselbund importieren können.
Nelaaro