GALAT: Satu atau lebih tanda tangan PGP tidak dapat diverifikasi, arch linux

22

Saya baru-baru ini beralih ke panggilan distro berbasis lengkung Manjaro .

Saya punya masalah menginstal beberapa paket dari repositori lengkungan aur

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Apa yang harus saya lakukan untuk memperbaikinya?

nelaaro
sumber

Jawaban:

31

Setelah memiliki pasangan kunci gpg lokal, Anda dapat mengimpor kunci yang tidak dikenal ke set kunci pengguna lokal Anda. Dalam kasus saya, kuncinya 5CC908FDB71E12C2perlu diimpor sebagai berikut.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys ID kunci: Mengimpor kunci dengan ID kunci yang diberikan dari server kunci.

Jika hal di atas gagal, Anda mungkin perlu membuat keystore / database gpg lokal.

Langkah-langkah di bawah ini mungkin tidak lagi diperlukan karena langkah di atas sekarang membuat basis data kunci lokal untuk Anda. Ini tergantung pada distro Anda dan gpgversi serta konfigurasi.

Jika Anda belum memiliki gpgbasis data kunci untuk pengguna lokal Anda.

gpg --generate-key 

atau

gpg --full-gen-key 

Apa kata dokter.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.
nelaaro
sumber
Apakah ini aman? Seperti, tidak menambahkan kunci acak kapan pun Anda harus, mengalahkan tujuan ...?
jcora
4
@ jcora. Tombol-tombol ini memungkinkan Anda untuk menginstal perangkat lunak yang Anda inginkan. Anda perlu memutuskan apakah itu aman. Ini adalah kunci pihak ketiga yang memverifikasi bahwa perangkat lunak yang mereka buat di AUR sebenarnya dari mereka. Apakah ada kemungkinan paket di AUR atau di suatu tempat memiliki kode berbahaya ya. Yang mengharuskan Anda untuk percaya bahwa orang yang membuat paket. Selain itu, kunci memverifikasi bahwa tidak ada orang lain yang memodifikasi paket yang Anda terima. Anda harus membuat keputusan dan mengevaluasi risikonya.
nelaaro
nah saya bingung karena biasanya kunci untuk paket AUR sudah otomatis disertakan pada sistem saya. Apakah saya salah memahami sesuatu?
jcora
Saya menggunakan distro Manjor, yang mungkin sudah ketinggalan zaman, dan menyebabkan masalah bagi saya.
nelaaro
1
@EnricoMariaDeAngelis kunci gpg lokal tidak diinisialisasi, Anda tidak memiliki cincin kunci yang hanya berupa file yang menyimpan daftar kunci yang telah Anda impor / terima. --full-gen-keymemastikan bahwa semua file dibuat agar Anda dapat mengimpor kunci ke cincin kunci lokal Anda.
nelaaro