Signing (Unterschreiben) per GPG
Anmerkung:
Nachfolgende Beschreibung ist richtig. Etwas eleganter, auf einen Schlag, installiert man fehlende Key´s so
for k in $(apt-get update 2>&1|grep -o NO_PUBKEY.*|sed 's/NO_PUBKEY //g');
do gpg --recv-keys --keyserver wwwkeys.eu.pgp.net $k;gpg --armor --export $k|apt-key add -;done
jokobau
Beim Update der apt-get Datenbank gibt es manchmal Fehlermeldungen, dass ein GPG-Schlüssel fehlt. Beispiel für eine solche Meldung:
GPG error: http://kanotix.com ./ Release: The following signatures couldn't be verified because the public
key is not available: NO_PUBKEY FB1A399A71409CDF
Bei apt-get wurde inzwischen das Signing (Unterschreiben) per GPG eingeführt. Damit das auch funktioniert, müssen wir GPG bzw. apt-get erstmal die entsprechenden Schlüssel zur Verfügung stellen. Der Schlüssel hört im Beispiel auf den Namen
FB1A399A71409CDF - der Server ist dort
kanotix.
Um die Fehlermeldung wegzubekommen und vor allem ein Verifizieren der Pakete zu ermöglichen, kann man folgendermassen vorgehen (
SCHLÜSSEL und
SERVER jeweils ersetzen):
Als beliebiger User besorgen wir uns den Schlüssel:
gpg --keyserver wwwkeys.eu.pgp.net --recv-keys SCHLÜSSEL
Jetzt exportieren wir diesen Schlüssel für apt-get:
gpg --export SCHLÜSSEL > /home/beliebiger_user/SERVER.key
(Alternativ zu den beiden ersten Schritten bzw. wenn man hinter einer Firewall sitzt, kann man den Schlüssel-Daten-Block über
http://www.heise.de/security/dienste/pgp/keyserver.shtml∞ holen. Als Key-ID, nach der gesucht wird, reichen die letzten acht Zeichen des Schlüssels mit vorangestelltem 0x, für
Kanotix also 0x71409CDF aus. Danach kann er per "cut and paste" in eine Datei geschrieben werden - z.B. /home/beliebiger_user/SERVER.key)
Dann informieren wir apt-get noch darüber (jetzt als root!):
apt-key add /home/beliebiger_user/SERVER.key
Die Datei SERVER.key wird danach nicht mehr gebraucht und kann gelöscht werden.
Alternativ kann man die letzten beiden Schritte auch zusammenfassen (als root ausführen):
gpg --export SCHLÜSSEL | apt-key add -
Dies erstellt auch keine tote Datei.
Mehr Infos (die ersten drei sind englisch):
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-deb-pack-sign∞
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-apt-0.6∞
http://lists.debian.org/debian-devel/2003/12/msg01986.html∞
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign∞
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-apt-0.6∞
zurück