ERREUR: une ou plusieurs signatures PGP n'ont pas pu être vérifiées, arch linux

22

Je suis récemment passé à un appel de distribution basé sur l'arche Manjaro .

J'ai des problèmes pour installer certains packages à partir du référentiel aur arch

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Que dois-je faire pour résoudre ce problème?

linux arch-linux pgp pacman nelaaro
la source

Réponses:

31

Une fois que vous avez une paire de clés gpg locale, vous pouvez importer la clé inconnue dans le jeu de clés de vos utilisateurs locaux. Dans mon cas, la clé 5CC908FDB71E12C2doit être importée comme suit.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys ID de clé: importez les clés avec les ID de clé donnés à partir d'un serveur de clés.

Si ce qui précède échoue, vous devrez peut-être générer un magasin de clés / base de données gpg local.

Ces étapes ci-dessous peuvent ne plus être nécessaires car l'étape ci-dessus crée maintenant une base de données de clés locale pour vous. Cela dépend de votre distribution, de votre gpgversion et de votre configuration.

Si vous ne disposez pas déjà d'une gpgbase de données de clés pour votre utilisateur local.

gpg --generate-key

ou 

gpg --full-gen-key

Ce que disent les docs.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.
nelaaro
la source
Est-ce sûr? Par exemple, l'ajout de clés aléatoires à chaque fois que vous en avez besoin ne va-t-il pas à l'encontre du but ...
jcora
4
@jcora. Ces clés vous permettent d'installer le logiciel que vous souhaitez. Vous devez décider si elle est sûre. Ce sont des clés tierces qui permettent de vérifier que le logiciel qu'ils ont créé dans AUR provient bien d'eux. Y a-t-il une possibilité qu'un paquet dans AUR ou quelque part ait un code malveillant oui. Ce qui vous oblige à faire confiance à la personne qui crée le package. Au-delà de cela, les clés vérifient que personne d'autre n'a modifié le colis que vous avez reçu. Vous devez prendre la décision et évaluer le risque.
nelaaro
eh bien j'étais confus car généralement les clés des packages AUR sont déjà automatiquement incluses sur mon système. Suis-je en train de mal comprendre quelque chose?
jcora
J'utilise la distribution Manjor, qui était probablement obsolète et qui me cause des problèmes.
nelaaro
1
@EnricoMariaDeAngelis les clés gpg locales ne sont pas initialisées, vous n'avez pas de trousseau de clés qui est juste un fichier qui stocke une liste de clés que vous avez importées / acceptées. --full-gen-keygarantit que tous les fichiers sont créés pour que vous puissiez importer des clés dans votre trousseau de clés local.
nelaaro