Debian. Bagaimana saya bisa mendapatkan debian-arsip-keyring dengan aman, sehingga saya bisa melakukan pembaruan apt-get? NO_PUBKEY

16

Saya memiliki tangkapan 22 mencoba:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Di http://wiki.debian.org/SecureApt#Other_problems, ia mencatat masalah NO_PUBKEY "berarti arsip sudah mulai ditandatangani oleh kunci baru, yang tidak diketahui oleh sistem Anda ... dan begitu sistem diberi makan, kunci baru (dengan memutakhirkan paket debian-arsip-keyring), peringatan akan hilang "

OK, tapi anehnya: 

   apt-get install debian-archive-keyring

memberi saya:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

dan solusi untuk itu adalah melakukan pembaruan apt-get

Ada lubang di ember, liza sayang.

Adakah yang bisa memutus siklus untuk saya?

-

Catatan: /etc/apt/sources.list saya adalah:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
debian apt public-key David Bullock
sumber
1
Jika Anda ingin tetap dengan lenny, maka Anda harus menggantinya stabledengan lennypada http.us.debian.org. Daftar sources.list Anda saat ini mungkin akan menghasilkan sistem yang rusak. Jika Anda ingin meningkatkan untuk memeras, maka Anda harus mengganti semua stable/lennyreferensi, dan gunakan squeeze.
Zoredache

Jawaban:

13

Adakah yang bisa memutus siklus untuk saya?

Anda pada dasarnya hanya mengalami masalah bootstrap standar untuk kriptografi kunci publik .

Ada banyak tempat Anda dapat mengunduh kunci publik untuk berbagai arsip, tetapi sering kali itu tidak disediakan melalui HTTPS, dan file checksum apa pun dikirim dari lokasi yang sama.

Tautan wiki yang Anda berikan tautan ke https://ftp-master.debian.org/keys.html yang telah menyediakan salinan kunci yang dapat Anda unduh melalui SSL. Masalahnya tentu saja adalah bahwa cert untuk ftp-master.debian.org ditandatangani oleh ca.debian.org, yang tidak didistribusikan dengan browser web yang paling umum.

Anda pada dasarnya hanya perlu menemukan cara untuk mendapatkan salinan debian-archive-keyring, atau kunci saat ini dari sistem yang Anda percayai, dan menginstalnya ke sistem Anda. Jika Anda benar-benar paranoid, Anda mungkin harus mengambil salinan arsip, dan meminta orang lain mengambil salinan dari mirror lain di komputer yang berbeda melalui jaringan yang berbeda. Kemudian bandingkan checksum.

Jika Anda tidak terlalu paranoid, atau berada di lingkungan dengan keamanan tinggi, maka biarkan apt-get install debian-archive-keyringmemasang, dan abaikan peringatan itu.

Dibutuhkan banyak upaya bagi seseorang untuk mengatur MITM antara Anda dan cermin http.us.debian.org acak. Setelah mereka melakukan itu, mereka harus membangun paket key-debian-archive-keyring kustom mereka termasuk kunci jahat mereka di samping kunci standar. Kemudian mereka harus membangun kembali beberapa paket untuk memaksa Anda menginstal sesuatu yang jahat ke sistem Anda. Upaya yang terlibat tidak akan sepele.

Debian umumnya melakukan pekerjaan menambahkan kunci yang cukup bagus yang akan digunakan untuk menandatangani paket di masa depan ke paket keyring debian-archive. Itu adalah satu paket, yang Anda benar-benar ingin tetap up-to-date. Dengan begitu, Anda akan memasukkan kunci yang diinstal sebelum digunakan untuk menandatangani sesuatu, dan Anda tidak akan memiliki masalah ini di masa mendatang.

Sakit kepala
sumber
Ya, Chrome memberi saya peringatan besar tentang penandatangan sertifikat SSL yang tidak dipercaya. Mendesah.
David Bullock
1
PS.FYI. Sidik jari saat ini yang saya miliki untuk kunci penandatanganan adalah 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9dan lenny 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6.
Zoredache
Yah, musuh hipotetis saya berpengaruh, jadi bukan masalah besar bahwa sertifikat SSL untuk ftp-master.debian.org tidak ditandatangani oleh salah satu CA yang dikompromikan yang dipercayai browser saya di luar kotak. Jadi saya mendapat plugin Convergence Moxie Marlinspike untuk Firefox. Setidaknya saya pikir saya lakukan - dia tidak kesulitan untuk menandatangani add-on yang saya instal, dan itu crash Firefox ketika saya menginstalnya. Saya tidak tahu apakah server notaris default dapat diandalkan, tetapi mereka tampaknya setuju bahwa situs web utamanya sama dengan yang saya lihat. Tapi mungkin musuhku sudah berkompromi dengan Debian. Jadi, aku akan melakukannya.
David Bullock
Terima kasih untuk sidik jari. Entah bagaimana, benar atau salah, saya percaya seseorang yang memberikan waktu mereka untuk membantu orang asing.
David Bullock
1
Anda bisa mendapatkannya dari basis data kunci mit pgp, jika Anda tidak suka mengambilnya dari arsip. http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
Zoredache
10

Masalah Anda adalah Anda tidak menginstal debian-keyring juga. Cukup jalankan yang berikut ini:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Itu dia.

tukang api
sumber
Saya dapat mengkonfirmasi ini berfungsi
aexl
debian-keyringmemiliki tidak ada hubungannya dengan menginstal paket.
x-yuri
5

Debian - Apt-get: NO_PUBKEY / GPG error

Di komputer yang didasarkan pada sistem operasi Debian yang menggunakan kernel Linux, pesan kesalahan dapat muncul seperti 'NO_PUBKEY'. Ini terjadi saat menggunakan alat baris perintah Apt-Get dan kesalahan ini dikaitkan dengan fitur pembaruan alat. Fitur baru di alat manajemen paket Apt-Get menjamin keaslian server sebelum memperbarui OS Debian. Itu sebabnya kesalahan 'NO_PUBKEY' muncul. Masalah ini dapat diselesaikan dengan memasukkan perintah yang sesuai.

Cukup ketik perintah berikut, berhati-hatilah untuk mengganti nomor di bawah ini dengan tombol yang ditampilkan dalam pesan kesalahan:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Chaminda Bandara
sumber
Saya telah mencoba solusi di atas dan ini berhasil untuk saya. Memecahkan masalah.
Chaminda Bandara
4

Dua hal:

  1. File sources.list Anda mungkin salah; apakah Anda yakin itu adalah garis yang tepat untuk repo itu?

  2. Anda harus mencari file Release.gpg secara manual di repo itu dan memperbarui keyring:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Anda mungkin bermain dengan api dengan mencampur Lenny dengan repo stabil

es tipis
sumber
Saya tidak yakin tentang # 1. Saya mengikuti instruksi di spinifex.com.au/plugs/dphowtos.html#debian tetapi baris "deb backports.org/debian lenny-backports contrib utama tidak bebas" memberikan kesalahan unduhan, sehingga secara membabi buta mengikuti backports-master.debian .org / Instruksi Saya mengubahnya menjadi "deb backports.debian.org/debian-backports squeeze-backports main". Sekarang saya memilikinya sebagai "deb backports.debian.org/debian-backports lenny-backports contrib utama tidak bebas" ... apakah itu lebih baik? (Aku benci bermain api). Masih mendapatkan 'NO_PUBKEY', jadi akan lakukan # 2 Anda.
David Bullock
1 
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
buru-buru
sumber
1

Hal yang benar untuk dilakukan adalah tidak khawatir tentang mendapatkan kunci ke mesin Anda dengan aman, tetapi bisa secara akurat memeriksa jalur kepercayaan Anda ke kunci setelah Anda memilikinya di mesin Anda. Ini berarti bahwa Anda ingin menemukan rantai tanda tangan di mana kunci gpg Anda digunakan untuk menandatangani kunci seseorang yang digunakan untuk menandatangani kunci seseorang ... sehingga Anda akhirnya menemukan seseorang yang menandatangani kunci arsip.

Ini jelas akan menjemukan jika Anda mencoba melakukan ini dengan tangan jika Anda lebih dari beberapa langkah dari kunci. wotsap adalah paket yang akan membantu Anda menemukan jalur dari kunci Anda ke kunci orang-orang yang secara langsung menandatangani kunci arsip.

Ini semua didasarkan pada Anda memiliki kunci gpg dan berpartisipasi dalam gpg keysigning, yang sangat penting jika Anda ingin benar-benar melakukan ini dengan benar.

rebus
sumber