Debian. Comment puis-je obtenir en toute sécurité debian-archive-keyring, afin de pouvoir faire une mise à jour apt-get? NO_PUBKEY

16

J'ai une prise 22 essayant de:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Sur http://wiki.debian.org/SecureApt#Other_problems, il note le problème NO_PUBKEY "signifie que l'archive a commencé à être signée par une nouvelle clé, que votre système ne connaît pas ... et une fois que le système est alimenté, le nouvelle clé (en mettant à jour le paquet debian-archive-keyring), l'avertissement disparaîtra "

D'accord, mais de façon perverse: 

   apt-get install debian-archive-keyring

Donne moi:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

et la solution pour cela est de faire une mise à jour apt-get

Il y a un trou dans le seau, chère Liza.

Quelqu'un peut-il rompre le cycle pour moi?

-

Remarque: ma /etc/apt/sources.list est:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
debian apt public-key David Bullock
la source
1
Si vous voulez vous en tenir à Lenny, vous devez le remplacer stablepar lennyle http.us.debian.org. Votre source.list actuelle va probablement entraîner un système défectueux. Si vous souhaitez effectuer une mise à niveau vers Squeeze, vous devez remplacer toutes les stable/lennyréférences et utiliser squeeze.
Zoredache

Réponses:

13

Quelqu'un peut-il rompre le cycle pour moi?

Vous rencontrez essentiellement le problème de démarrage standard pour la cryptographie à clé publique .

Il existe de nombreux endroits où vous pouvez télécharger les clés publiques pour les diverses archives, mais elles ne sont souvent pas fournies via HTTPS, et tous les fichiers de somme de contrôle sont fournis à partir du même emplacement.

Ce lien wiki que vous avez fourni des liens vers https://ftp-master.debian.org/keys.html qui fournit une copie des clés que vous pouvez télécharger via SSL. Le problème est bien sûr que le certificat pour ftp-master.debian.org est signé par ca.debian.org, qui n'est pas distribué avec les navigateurs Web les plus courants.

Il vous suffit de trouver un moyen d'obtenir une copie de debian-archive-keyring, ou la clé actuelle du système auquel vous faites confiance, et de l'installer sur votre système. Si vous êtes vraiment paranoïaque, vous devrez peut-être récupérer une copie de l'archive et demander à quelqu'un d'autre de récupérer une copie d'un autre miroir sur un ordinateur différent sur un réseau différent. Comparez ensuite les sommes de contrôle.

Si vous n'êtes pas extrêmement paranoïaque ou dans un environnement de haute sécurité, laissez simplement apt-get install debian-archive-keyringinstaller et ignorez l'avertissement.

Il faudrait beaucoup d'efforts pour que quelqu'un installe un MITM entre vous et le miroir aléatoire http.us.debian.org. Une fois cela fait, ils devraient construire leur propre paquet debian-archive-keyring personnalisé, y compris leur mauvaise clé en plus des clés standard. Ensuite, ils devraient reconstruire certains packages pour vous forcer à installer quelque chose de mal sur votre système. L'effort requis ne serait pas anodin.

Debian fait généralement un très bon travail en ajoutant des clés qui seront utilisées à l'avenir pour signer les paquets dans le paquet debian-archive-keyring. C'est un package que vous voulez vraiment garder à jour. De cette façon, vous taperez les clés installées avant qu'elles ne soient utilisées pour signer des choses, et vous n'aurez plus ce problème à l'avenir.

Zoredache
la source
Oui, Chrome m'a donné une grosse alerte en raison du manque de confiance du signataire du certificat SSL. Soupir.
David Bullock du
1
PS.FYI. L'empreinte digitale actuelle que j'ai pour la clé de signature Squeeze est 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9et Lenny l'est 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6.
Zoredache
Eh bien, mes ennemis hypothétiques sont influents, donc ce n'est pas grave que le certificat SSL pour ftp-master.debian.org ne soit pas signé par l'une des autorités de certification compromises que mon navigateur approuve dès la sortie de la boîte. J'ai donc obtenu le plugin Convergence de Moxie Marlinspike pour Firefox. Au moins, je pense que je l'ai fait - il n'a pas eu de mal à signer le module complémentaire que j'ai installé, et il a planté Firefox lorsque je l'ai installé. Je ne sais pas si les serveurs de notaire par défaut sont fiables, mais ils semblent convenir que le site Web clé est le même que je regarde. Mais mes ennemis ont probablement déjà compromis Debian. Alors diable, je vais avec.
David Bullock
Merci pour l'empreinte digitale. D'une manière ou d'une autre, à tort ou à raison, je fais confiance à quelqu'un qui abandonne son temps pour aider un étranger.
David Bullock
1
Vous pouvez les obtenir de la base de données de clés mit pgp, si vous n'aimez pas les récupérer dans les archives. http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
Zoredache
10

Votre problème est que vous n'avez pas également installé le trousseau de clés Debian. Exécutez simplement ce qui suit:

apt-get install debian-keyring
apt-get install debian-archive-keyring

C'est ça.

pompier
la source
Je peux confirmer que cela fonctionne
aexl
debian-keyringn'a rien à voir avec l'installation de packages.
x-yuri
5

Debian - Apt-get: erreur NO_PUBKEY / GPG

Sur les ordinateurs basés sur un système d'exploitation Debian qui utilise le noyau Linux, des messages d'erreur peuvent apparaître comme 'NO_PUBKEY', ce qui se produit lors de l'utilisation de l'outil de ligne de commande Apt-Get et cette erreur est associée à la fonction de mise à jour de l'outil. La nouvelle fonctionnalité de l'outil de gestion de paquets Apt-Get garantit l'authenticité du serveur avant de mettre à jour le système d'exploitation Debian. C'est pourquoi l'erreur «NO_PUBKEY» apparaît. Ce problème peut être résolu en entrant les commandes appropriées.

Tapez simplement les commandes suivantes, en prenant soin de remplacer le numéro ci-dessous par celui de la clé qui était affichée dans le message d'erreur:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Chaminda Bandara
la source
J'ai expérimenté la solution ci-dessus et cela a fonctionné pour moi. Résolu le problème.
Chaminda Bandara
4

Deux choses:

  1. Votre fichier sources.list est peut-être incorrect; êtes-vous sûr que ce sont les bonnes lignes pour ces dépôts?

  2. Vous devrez localiser manuellement les fichiers Release.gpg sur ces dépôts et mettre à jour le trousseau de clés:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Vous pourriez jouer avec le feu en mélangeant Lenny avec le repo stable

mince
la source
Je ne suis pas sûr de # 1. Je suivais les instructions sur spinifex.com.au/plugs/dphowtos.html#debian mais la ligne "deb backports.org/debian lenny-backports main contrib non-free" donnait des erreurs de téléchargement, donc je suivais aveuglément backports-master.debian .org / Instructions Je l'ai changé en "deb backports.debian.org/debian-backports squeeze-backports main". Maintenant, je l'ai comme "deb backports.debian.org/debian-backports lenny-backports principale contrib non-libre" ... est-ce mieux? (Je déteste jouer avec le feu). Obtenez toujours 'NO_PUBKEY', ainsi fera votre # 2.
David Bullock
1 
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
se ruer
la source
1

La bonne chose à faire est de ne pas vous soucier d'obtenir la clé de votre machine en toute sécurité, mais de pouvoir vérifier avec précision votre chemin de confiance vers la clé une fois que vous l'avez sur votre machine. Cela signifie que vous voulez trouver une chaîne de signatures où votre clé gpg a été utilisée pour signer la clé de quelqu'un qui a été utilisée pour signer la clé de quelqu'un ... afin que vous trouviez finalement quelqu'un qui a signé la clé d'archive.

Ce serait évidemment fastidieux si vous essayez de le faire à la main si vous êtes à plus de quelques pas de la clé. wotsap est un package qui vous aidera à découvrir les chemins de votre clé vers les clés des personnes qui ont directement signé la clé d'archive.

Tout cela dépend de votre possession d'une clé gpg et de votre participation à la signature gpg, ce qui est absolument essentiel si vous voulez vraiment le faire correctement.

Ragoût
la source