ОШИБКА: одна или несколько подписей PGP не могут быть проверены, arch linux


22

Недавно я перешел на арктический дистрибутив Manjaro .

У меня проблемы с установкой некоторых пакетов из репозитория aur arch

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Что мне нужно сделать, чтобы это исправить?

Ответы:


31

Если у вас есть пара локальных ключей gpg, вы можете импортировать неизвестный ключ в набор ключей локальных пользователей. В моем случае ключ 5CC908FDB71E12C2необходимо импортировать следующим образом.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <daniel@haxx.se>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys keys: импортировать ключи с заданными идентификаторами ключей с сервера ключей.

Если вышеперечисленное не помогает, вам может потребоваться создать локальное хранилище ключей gpg / базу данных.

Приведенные ниже шаги могут больше не понадобиться, так как вышеприведенный шаг теперь создает для вас базу данных локальных ключей. Это зависит от вашего дистрибутива, gpgверсии и конфигурации.

Если у вас еще нет gpgбазы данных ключей для локального пользователя.

gpg --generate-key 

или

gpg --full-gen-key 

Что говорят документы

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.

Это безопасно? Мол, не добавляешь ли ты случайные ключи когда угодно, побеждаешь цель ...?
Jcora

4
@jcora. Эти ключи позволяют установить желаемое программное обеспечение. Вам нужно решить, безопасно ли это. Это сторонние ключи, которые проверяют, что программное обеспечение, которое они создали в AUR, на самом деле от них. Есть ли вероятность того, что пакет в AUR или где-то с вредоносным кодом, да. Что требует от вас доверия тому человеку, создающему пакет. Кроме того, ключи подтверждают, что никто другой не изменил полученный вами пакет. Вы должны принять решение и оценить риск.
nelaaro

Ну, я был сбит с толку, потому что обычно ключи для пакетов AUR автоматически включаются в мою систему. Я что-то неправильно понимаю?
18:00

Я использую дистрибутив Manjor, который, вероятно, устарел и вызывает проблемы для меня.
nelaaro

1
@EnricoMariaDeAngel, потому что локальные ключи gpg не инициализированы, у вас нет набора ключей, который представляет собой просто файл, в котором хранится список ключей, которые вы импортировали / приняли. --full-gen-keyгарантирует, что все файлы созданы для того, чтобы вы могли импортировать ключи в ваше локальное хранилище ключей.
nelaaro
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.