GPG ne peut pas vérifier la signature

10

J'essayais de recompiler et de reconstruire la source libevent2 de oneiric sur mon serveur natty et j'ai eu une petite erreur avec gpg ne pouvant pas vérifier la signature

# dpkg-source -x libevent_2.0.12-stable-1.dsc
gpgv: Signature made Fri Jun 17 07:12:50 2011 PDT using DSA key ID 7ADF9466
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./libevent_2.0.12-stable-1.dsc

Une idée de comment résoudre cet avertissement?

compiling deb gnupg Silex
la source

Réponses:

10

Je pense que la solution conventionnelle consiste à installer les clés GnuPG du paquet Debian Developers :

sudo apt-get install debian-keyring
ændrük
la source
Oui, les commandes gpg suggérées ici par @enzotib et @Flint ne fonctionnaient pas pour moi sur Ubuntu 14.04, au moins pour activer la validation lors de l'exécution apt-get source. Mais l'installation du debian-keyringpackage a fonctionné, comme le suggère @ ændrük.
fjarlq
10

Tout d'abord, vous devez importer la clé dans le trousseau de clés local comme indiqué par @enzotib:

gpg --keyserver keyserver.ubuntu.com --recv-keys 7ADF9466

Exportez ensuite la clé vers vos clés de confiance locales pour la rendre fiable:

gpg --no-default-keyring -a --export 7ADF9466 | gpg --no-default-keyring --keyring ~/.gnupg/trustedkeys.gpg --import -
Silex
la source
Cela fonctionne dans Ubuntu 16.04 où ~/.gnupg/trustedkeys.gpgn'existait pas.
Stéphane Gourichon
6

Vous devez importer la clé dans le trousseau de clés local avec la commande suivante:

gpg --keyserver keyserver.ubuntu.com --recv-keys 7ADF9466

Ensuite, essayez à nouveau la commande.

enzotib
la source
1
Merci mais il n'a toujours pas vérifié la signature
Flint
1
@Flint: vous exécutez en tant que root, donc cette commande doit également être exécutée en tant que root, pour accéder au trousseau de clés root. L'avez-vous fait?
enzotib
5
Existe-t-il des sources officielles attestant que cette approche est sûre? Comment pourrais-je savoir que 7ADF9466c'est bien la bonne clé de signature si elle n'existe pas dans le paquet de trousseaux de clés? Ce qui empêche un homme au milieu de servir un dscfichier signé avec une clé différente (peut-être même une clé différente avec le même hachage 32 bits).
kasperd