16 votos

Debian. ¿Cómo puedo obtener de forma segura debian-archive-keyring, así que puedo hacer un apt-get update? NO_PUBKEY

Tengo un catch 22 tratando de:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

En http://wiki.debian.org/SecureApt#Other_problems toma nota de la NO_PUBKEY problema "significa que el archivo ha comenzado a ser firmado por una nueva clave, que su sistema no sabe acerca de ... y una vez que el sistema es alimentado la nueva clave (por actualizar el debian-archive-keyring), la advertencia desaparecerá"

OK, pero perversamente:

   apt-get install debian-archive-keyring 

me da:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

y la solución para que hacer un apt-get update

Hay un agujero en el cubo, querido 'liza.

¿Alguien puede romper el ciclo para mí?

--

Nota: mi /etc/apt/sources.la lista es:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free

34voto

Zoredache Puntos 84524

¿Alguien puede romper el ciclo para mí?

Que son, básicamente, sólo experimentando el estándar bootstrap problema de la criptografía de clave pública.

Hay muchos lugares donde usted puede descargar las claves públicas de los distintos archivos, pero con frecuencia no son proporcionados a través de HTTPS, y cualquier suma de comprobación se entregan los archivos desde la misma ubicación.

Que wiki enlace proporcionado enlaces fuera a https://ftp-master.debian.org/keys.html que tiene una copia de las llaves que usted puede descargar a través de SSL. El problema es que el cert para ftp-master.debian.org está firmado por ca.debian.org que no se distribuye con el más común de los navegadores web.

Básicamente sólo tienes que encontrar una manera de obtener una copia de debian-archive-keyring, o la clave actual del sistema en el que confía, y la instale en su sistema. Si eres muy paranoico, usted podría tener que hacerse con una copia de el archivo, y tener a alguien agarra una copia de otro espejo en un equipo diferente a través de una red diferente. A continuación, comparar las sumas de comprobación.

Si no eres muy paranoico, o en un entorno de alta seguridad, a continuación, sólo deje apt-get install debian-archive-keyring instalar, y de ignorar la advertencia.

Se necesitaría un gran esfuerzo para que alguien la instalación de un MITM entre usted y el aleatorias http.us.debian.org espejo. Una vez que hicieron eso, tendrían que construir su propio personalizado debian-archive-keyring incluyendo sus malas clave además de las teclas estándar. Luego tendrían que reconstruir algunos paquetes a la fuerza que instale algo mal en su sistema. El esfuerzo no sería trivial.

Debian en general hace un buen trabajo de la adición de teclas que se utiliza para firmar los paquetes en el futuro para el debian-archive-keyring. Que es un paquete, que usted realmente quiere mantener actualizada. De esa manera, se le clave las claves instalado antes de que sean utilizadas para la firma de las cosas, y usted no tendrá este problema en el futuro.

12voto

fireboy Puntos 71

Su problema es que usted no instalar debian-keyring así. Basta con ejecutar el siguiente:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Eso es todo.

4voto

thinice Puntos 3805

Dos cosas:

  1. Sus fuentes.archivo de lista puede ser incorrecto; ¿estás seguro de que esas son las líneas correctas para los repos?

  2. Vas a tener que buscar manualmente la Liberación.gpg archivos en los repositorios y actualizar el llavero:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Usted podría estar jugando con fuego mediante la mezcla de lenny con la estable repo

1voto

rush Puntos 942
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY

1voto

stew Puntos 5826

Lo correcto es no preocuparse de conseguir la clave de su máquina de forma segura, pero ser capaz de comprobar con precisión su confianza ruta de acceso de la clave una vez que usted tiene en su máquina. Esto significa que usted quiere encontrar una cadena de firmas donde su clave gpg se utiliza para firmar alguien la clave que se utilizó para firmar alguien la clave... para que usted finalmente encontrar a alguien que firmaron el archivo de clave.

Obviamente, esto sería aburrido si usted fuera a tratar de hacer esto a mano, si son más de un par de pasos lejos de la clave. wotsap es un paquete que te ayudará a descubrir las rutas de su clave de las llaves de las personas que directamente han firmado el archivo de clave.

Todo esto se basa en que usted tenga una clave gpg y participar en firmar las claves gpg, que es absolutamente esencial si usted quiere realmente hacer esto correctamente.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: