BŁĄD: Nie można zweryfikować jednego lub więcej podpisów PGP, arch. Linux

22

Niedawno przeszedłem na archipelag Manjaro .

Mam problemy z instalacją niektórych pakietów z repozytorium arch aur

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Co muszę zrobić, aby to naprawić?

nelaaro
źródło

Odpowiedzi:

31

Po utworzeniu lokalnej pary kluczy gpg możesz zaimportować nieznany klucz do zestawu kluczy lokalnych użytkowników. W moim przypadku klucz 5CC908FDB71E12C2należy zaimportować w następujący sposób.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys ID kluczy: Importuj klucze o podanych identyfikatorach kluczy z serwera kluczy.

Jeśli powyższe nie powiedzie się, może być konieczne wygenerowanie lokalnego magazynu kluczy / bazy danych gpg.

Poniższe kroki mogą już nie być konieczne, ponieważ powyższy krok tworzy teraz lokalną bazę danych kluczy. To zależy od twojej dystrybucji, gpgwersji i konfiguracji.

Jeśli nie masz jeszcze gpgbazy danych kluczy dla lokalnego użytkownika.

gpg --generate-key 

lub

gpg --full-gen-key 

Co mówią doktorzy.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.
nelaaro
źródło
Czy to jest bezpieczne? Na przykład, czy dodawanie losowych kluczy nie jest konieczne, gdy pokonujesz cel ...?
jcora
4
@jcora. Te klucze pozwalają zainstalować oprogramowanie, które chcesz. Musisz zdecydować, czy jest to bezpieczne. Są to klucze podmiotów trzecich, które weryfikują, czy oprogramowanie, które utworzyli w AUR, pochodzi od nich. Czy istnieje możliwość pakietu w AUR lub gdzieś złośliwy kod tak. Co wymaga zaufania od osoby tworzącej pakiet. Poza tym klucze weryfikują, czy nikt inny nie zmodyfikował otrzymanego pakietu. Musisz podjąć decyzję i ocenić ryzyko.
nelaaro
Cóż, byłem zdezorientowany, ponieważ zwykle klucze do pakietów AUR są już automatycznie dołączane do mojego systemu. Czy coś nie rozumiem?
jcora
Używam dystrybucji Manjor, która prawdopodobnie była nieaktualna i powodowała problemy.
nelaaro
1
@EnricoMariaDeAngelis lokalne klucze gpg nie zostały zainicjowane, nie masz breloczka, który jest tylko plikiem przechowującym listę kluczy, które zaimportowałeś / zaakceptowałeś. --full-gen-keyzapewnia, że ​​wszystkie pliki są tworzone, aby można było importować klucze do lokalnego klucza.
nelaaro,