Signing (Unterschreiben) per GPG

Anmerkung: Nachfolgende Beschreibung ist richtig. Etwas eleganter, auf einen Schlag, installiert man fehlende Key´s so

jokobau


Beim Update der apt-get Datenbank gibt es manchmal Fehlermeldungen, dass ein GPG-Schlüssel fehlt. Beispiel für eine solche Meldung:


Bei apt-get wurde inzwischen das Signing (Unterschreiben) per GPG eingeführt. Damit das auch funktioniert, müssen wir GPG bzw. apt-get erstmal die entsprechenden Schlüssel zur Verfügung stellen. Der Schlüssel hört im Beispiel auf den Namen FB1A399A71409CDF - der Server ist dort kanotix.
Um die Fehlermeldung wegzubekommen und vor allem ein Verifizieren der Pakete zu ermöglichen, kann man folgendermassen vorgehen (SCHLÜSSEL und SERVER jeweils ersetzen):

Als beliebiger User besorgen wir uns den Schlüssel:



Jetzt exportieren wir diesen Schlüssel für apt-get:



(Alternativ zu den beiden ersten Schritten bzw. wenn man hinter einer Firewall sitzt, kann man den Schlüssel-Daten-Block über http://www.heise.de/security/dienste/pgp/keyserver.shtml∞ holen. Als Key-ID, nach der gesucht wird, reichen die letzten acht Zeichen des Schlüssels mit vorangestelltem 0x, für Kanotix also 0x71409CDF aus. Danach kann er per "cut and paste" in eine Datei geschrieben werden - z.B. /home/beliebiger_user/SERVER.key)

Dann informieren wir apt-get noch darüber (jetzt als root!):



Die Datei SERVER.key wird danach nicht mehr gebraucht und kann gelöscht werden.

Alternativ kann man die letzten beiden Schritte auch zusammenfassen (als root ausführen):

Dies erstellt auch keine tote Datei.

Mehr Infos (die ersten drei sind englisch):

http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-deb-pack-sign∞
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-apt-0.6∞
http://lists.debian.org/debian-devel/2003/12/msg01986.html∞
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign∞
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-apt-0.6∞

zurück