ERRO: Não foi possível verificar uma ou mais assinaturas PGP, arch linux


22

Recentemente, mudei para uma distro chamada Manjaro .

Estou com problemas para instalar alguns pacotes do repositório aur arch

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

O que preciso fazer para corrigir isso?

Respostas:


31

Depois de ter o par de chaves gpg local, você pode importar a chave desconhecida para o conjunto de chaves dos usuários locais. No meu caso, a chave 5CC908FDB71E12C2precisa ser importada da seguinte maneira.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <daniel@haxx.se>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys key IDs: Importe as chaves com os IDs de chave fornecidos de um servidor de chaves.

Se o acima falhar, pode ser necessário gerar um banco de dados / banco de dados de gpg local.

As etapas abaixo podem não ser mais necessárias, pois a etapa acima agora cria um banco de dados de chaves local para você. Isso depende da sua distribuição, gpgversão e configuração.

Se você ainda não possui um gpgbanco de dados de chaves para o usuário local.

gpg --generate-key 

ou

gpg --full-gen-key 

O que os documentos dizem.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.

Isso é seguro? Tipo, não adicionar chaves aleatórias sempre que necessário, anula o objetivo ...?
jcora

4
@jcora. Essas teclas permitem instalar o software que você deseja. Você precisa decidir se é seguro. Essas são chaves de terceiros para verificar se o software que eles criaram no AUR é realmente deles. Existe a possibilidade de um pacote no AUR ou em algum lugar com código malicioso sim. O que exige que você confie na pessoa que está criando o pacote. Além disso, as chaves verificam se ninguém mais modificou o pacote que você recebeu. Você tem que tomar a decisão e avaliar o risco.
21318

bem, eu estava confuso porque geralmente as chaves para pacotes AUR já estão incluídas automaticamente no meu sistema. Estou entendendo mal alguma coisa?
jcora

Estou usando a distro Manjor, que provavelmente estava desatualizada e causando problemas para mim.
N

11
@EnricoMariaDeAngel: as chaves gpg locais não são inicializadas, você não possui um conjunto de chaves, que é apenas um arquivo que armazena uma lista de chaves que você importou / aceitou. --full-gen-keygarante que todos os arquivos sejam criados para que você possa importar chaves para o seu conjunto de chaves local.
Aiaro 13/08
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.