http://ftp.de.debian.org unstable NO_PUBKEY

flash78 · Beitrag von **flash78** » 04.01.2006 10:13:03

Hallo,

hat de.debian.org wirklich den key geändert, oder sollte ich besser vorerst nocht aktualisieren (Zuvor hatte ich dieses Problem nicht, nutze SID)?

Code: Alles auswählen

W: GPG error: http://ftp.de.debian.org unstable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F

schoeppchen · Beitrag von **schoeppchen** » 04.01.2006 10:40:52

Aktualisier halt mal, was soll schon passieren? So lange der Key von einer vertrauenswürdigen Quelle kommt...

flash78 · Beitrag von **flash78** » 04.01.2006 10:56:20

nunja

Code: Alles auswählen

gpg: requesting key 2D230C5F from hkp server wwwkeys.eu.pgp.net
gpg: key 2D230C5F: public key "Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>" imported
gpg: kein uneingeschränkt vertrauenswürdiger Schlüssel 080F67F4 gefunden

schoeppchen · Beitrag von **schoeppchen** » 04.01.2006 11:01:17

Soweit ich weiß ändern die den ja mal ab und zu, gibts da keine Seite wo so was announced wird?

peschmae · Beitrag von **peschmae** » 04.01.2006 11:27:59

Die ändern den jedes Jahr.

MfG Peschmä

flash78 · Beitrag von **flash78** » 04.01.2006 12:09:30

peschmae hat geschrieben:Die ändern den jedes Jahr.

MfG Peschmä

ah ok, danke!

ein Announce wäre aber wirklich ganz nett

DerAntiPro · Beitrag von **DerAntiPro** » 05.01.2006 13:44:51

um die Fehlermeldung zu beseitigen:

Code: Alles auswählen

# gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 010908312D230C5F
# gpg --armor --export 2D230C5F | apt-key add -

mfg.

.marc. · Beitrag von **.marc.** » 05.01.2006 15:10:01

kann mir jemand sagen was diese keys genau zu bedeuten haben? also ist es ratsam diese zu adden oder eher nicht? also so ein paar infos dazu, wären für einen anfänger wie mich sicher super. also wäre toll wenn es jemand machen könnte

garibaldi · Beitrag von **garibaldi** » 05.01.2006 15:37:11

Hi Marc;

.marc. hat geschrieben:kann mir jemand sagen was diese keys genau zu bedeuten haben? also ist es ratsam diese zu adden oder eher nicht? also so ein paar infos dazu, wären für einen anfänger wie mich sicher super. also wäre toll wenn es jemand machen könnte

Natürlich adden, sonst bringt gpgp ja gar nichts. Wenn du genau wissen willst, was das soll:
http://www.rubin.ch/pgp/pgp
MfG Garibaldi

peschmae · Beitrag von **peschmae** » 05.01.2006 19:43:31

.marc. hat geschrieben:kann mir jemand sagen was diese keys genau zu bedeuten haben? also ist es ratsam diese zu adden oder eher nicht? also so ein paar infos dazu, wären für einen anfänger wie mich sicher super. also wäre toll wenn es jemand machen könnte

Also auf dem Debianserver gibts jeweils eine Datei "Packages" (bzw. in ge-gzippter Form).
Dort stehen die Checksummen aller Pakete drin.

Dann gibts eine Release-Datei. Dort stehen die Checksummen der Packages-Dateien drin.

Und dann gibts die Release.gpg Datei - dort ist die passende GPG Signatur. Mit der Signatur kannst du überprüfen ob irgend jemand in Zwischenzeit am Release-File rumgebastelt hat.
Damit siehst du auch ob in Zwischenzeit jemand was an den Paketen geändert hat der nicht dürfte - dann stimmen nämlich entweder die Checksummen in den Release/Packages-Dateien oder aber die Signatur nicht mehr.

So viel Sicherheit bringt das aber Schlussendlich auch nicht - das einzige was es verhindert ist z.B. dass ein Mirror der gehackt (oder crackt oder was auch immer) wurde plötzlich "gefälschte" Debian Pakete drauf hat ohne dass du das merkst.

Die Frage ist dann nur noch - von wo weiss ich ganz sicher dass der Key den ich habe der richtige ist?
Das ist dann etwas komplizierter - ehrlich gesagt weiss ich das auch nicht so sicher, aber wenn der Key ein falscher wäre den mir einer untergeschoben hätte müsste der jedes mal das Release-File signieren und das speziell für mich, sonst würde das ja andersrum nicht gehen - d.h. ich hab den falschen Key und die richtige Signatur

MfG Peschmä