GPG kann die Signatur nicht überprüfen

10

Ich habe versucht, die libevent2-Quelle von oneiric auf meinem netten Server neu zu kompilieren und neu zu erstellen, und ich hatte einen kleinen Fehler, weil gpg die Signatur nicht überprüfen konnte

# dpkg-source -x libevent_2.0.12-stable-1.dsc
gpgv: Signature made Fri Jun 17 07:12:50 2011 PDT using DSA key ID 7ADF9466
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./libevent_2.0.12-stable-1.dsc

Irgendeine Idee, wie man diese Warnung behebt?

compiling deb gnupg

— Feuerstein
quelle

10

Ich glaube, die herkömmliche Lösung besteht darin, die GnuPG-Schlüssel des Debian Developers- Pakets zu installieren :

sudo apt-get install debian-keyring

— ændrük
quelle

Ja, die hier von @enzotib und @Flint vorgeschlagenen gpg-Befehle funktionierten unter Ubuntu 14.04 nicht für mich, zumindest nicht, um die Validierung beim Ausführen zu aktivieren apt-get source. Die Installation des debian-keyringPakets hat jedoch funktioniert, wie @ ændrük vorschlägt.

— Fjarlq

10

Zunächst sollten Sie den Schlüssel gemäß den Anweisungen von @enzotib in den lokalen Schlüsselbund importieren:

gpg --keyserver keyserver.ubuntu.com --recv-keys 7ADF9466

Exportieren Sie dann den Schlüssel in Ihre lokalen vertrauenswürdigen Schlüssel, um ihn vertrauenswürdig zu machen:

gpg --no-default-keyring -a --export 7ADF9466 | gpg --no-default-keyring --keyring ~/.gnupg/trustedkeys.gpg --import -

— Feuerstein
quelle

Dies funktioniert in Ubuntu 16.04, wo ~/.gnupg/trustedkeys.gpges nicht existierte.

— Stéphane Gourichon

6

Sie sollten den Schlüssel mit dem folgenden Befehl in den lokalen Schlüsselbund importieren:

gpg --keyserver keyserver.ubuntu.com --recv-keys 7ADF9466

Versuchen Sie dann erneut den Befehl.

— Enzotib
quelle

1

Vielen Dank, aber die Signatur konnte immer noch nicht überprüft werden

— Flint

1

@Flint: Sie werden als root ausgeführt, daher sollte auch dieser Befehl als root ausgeführt werden, um zum Root-Schlüsselring zu gelangen. Hast du das getan?

— Enzotib

5

Gibt es offizielle Quellen, die belegen, dass dieser Ansatz sicher ist? Wie kann ich wissen, dass dies 7ADF9466tatsächlich der richtige Signaturschlüssel ist, wenn er nicht im Schlüsselbundpaket vorhanden ist? Was verhindert, dass ein Mann in der Mitte eine dscDatei mit einem anderen Schlüssel (möglicherweise sogar einem anderen Schlüssel mit demselben 32-Bit-Hash) bedient ?

— Kasperd