HATA: Bir veya daha fazla PGP imzası doğrulanamadı, arch linux

22

Kısa bir süre önce Manjaro adlı bir kemer tabanlı dağıtım aramasına geçtim .

Aur Arch deposundan bazı paketleri yüklerken sorun yaşıyorum

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Bunu düzeltmek için ne yapmam gerekiyor?

linux  arch-linux  pgp  pacman 
nelaaro
kaynak

Yanıtlar:

31

Yerel gpg anahtar çiftine sahip olduğunuzda, bilinmeyen anahtarı yerel kullanıcı anahtar grubunuza aktarabilirsiniz. Benim durumumda, anahtarın 5CC908FDB71E12C2aşağıdaki gibi içe aktarılması gerekiyor.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <daniel@haxx.se>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-key anahtar kimlikleri: Bir anahtar sunucusundan verilen anahtar kimlikleriyle anahtarları içe aktarın.

Yukarıdaki başarısız olursa, yerel bir gpg anahtar deposu / veritabanı oluşturmanız gerekebilir.

Yukarıdaki adım artık sizin için bir yerel anahtar veritabanı oluşturduğundan, bu aşağıdaki adımlar artık gerekli olmayabilir. Bu dağıtımınıza, gpgsürümünüze ve yapılandırmanıza bağlıdır .

gpgYerel kullanıcınız için zaten bir anahtar veritabanınız yoksa.

gpg --generate-key

veya 

gpg --full-gen-key

Dokümanlar ne diyor.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.
nelaaro
kaynak
Bu güvenli mi? Mesela, ne zaman ihtiyacınız varsa rastgele anahtarlar eklemiyorsunuz, amacı yenin ...?
jcora
4
@jcora. Bu tuşlar, istediğiniz yazılımı yüklemenizi sağlar. Güvenli olup olmadığına karar vermelisiniz. Bunlar, AUR'da oluşturdukları yazılımın aslında onlardan olduğunu doğrulayan üçüncü taraf anahtarlarıdır. AUR'da veya kötü amaçlı kod içeren bir yerde bir paket olasılığı var mı evet. Bu, paketi oluşturan kişinin güvenmenizi gerektirir. Bunun ötesinde, anahtarlar aldığınız paketi başka kimsenin değiştirmediğini doğrular. Karar vermek ve riski değerlendirmek zorundasınız.
nelaaro
Peki kafam karıştı çünkü genellikle AUR paketleri için anahtarlar sistemime zaten otomatik olarak dahil edildi. Bir şeyi yanlış mı anlıyorum?
jcora
Muhtemelen güncel olmayan ve benim için sorunlara neden olan Manjor dağıtımını kullanıyorum.
nelaaro
1
@EnricoMariaDeAngelYerel gpg anahtarları başlatılmadı, yalnızca içe aktardığınız / kabul ettiğiniz anahtarların listesini saklayan bir dosya olan bir anahtarlığınız yok. --full-gen-keyanahtarları yerel anahtarlığınıza aktarabilmeniz için tüm dosyaların oluşturulmasını sağlar.
nelaaro
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.