20 votes

David Bullock avatar

Debian. Comment puis-je obtenir de manière sécurisée debian-archive-keyring, afin de pouvoir faire une mise à jour apt-get ? NO_PUBKEY

Demandé el 3 de Décembre, 2011
Quand la question a-t-elle été
66202 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un problème en essayant de :

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Sur http://wiki.debian.org/SecureApt#Other_problems il note que le problème NO_PUBKEY "signifie que l'archive a commencé à être signée par une nouvelle clé, dont votre système n'a pas connaissance ... et une fois que le système aura reçu la nouvelle clé (en mettant à jour le paquet debian-archive-keyring), l'avertissement disparaîtra".

OK, mais de façon perverse :

   apt-get install debian-archive-keyring

me donne :

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

et la solution pour cela est de faire un apt-get update

Quelqu'un peut-il briser le cycle pour moi ?

--

Note : mon /etc/apt/sources.list est :

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
Demandé el 3 de Décembre, 2011 par David Bullock

1 votes

Avatar de jammus

Si tu veux rester avec Lenny, alors tu devrais remplacer stable avec lenny sur le http.us.debian.org . Votre source.list actuel va probablement aboutir à un système cassé. Si vous voulez passer à Squeeze, vous devez remplacer toutes les sources.list par des sources. stable/lenny références, et utiliser squeeze .

Commenté el 3 de Décembre, 2011 par jammus

Réponses

Trop de publicités?

18voto

jammus avatar
jammus Points 1796

Quelqu'un peut-il briser le cycle pour moi ?

En fait, vous ne faites qu'expérimenter la norme problème d'amorçage para la cryptographie à clé publique .

Il existe de nombreux endroits où vous pouvez télécharger les clés publiques des différentes archives, mais il est fréquent qu'elles ne soient pas fournies par HTTPS et que les fichiers de somme de contrôle proviennent du même endroit.

Le lien wiki que vous avez fourni renvoie à https://ftp-master.debian.org/keys.html qui fournit une copie des clés que vous pouvez télécharger via SSL. Le problème est bien sûr que le certificat pour ftp-master.debian.org est signé par ca.debian.org, qui n'est pas distribué avec les navigateurs web les plus courants.

Il vous suffit de trouver un moyen d'obtenir une copie de debian-archive-keyring, ou la clé actuelle d'un système auquel vous faites confiance, et de l'installer sur votre système. Si vous êtes vraiment paranoïaque, vous devrez peut-être récupérer une copie de l'archive, et demander à quelqu'un d'autre de récupérer une copie d'un autre miroir sur un autre ordinateur via un autre réseau. Comparez ensuite les sommes de contrôle.

Si vous n'êtes pas extrêmement paranoïaque, ou si vous n'êtes pas dans un environnement de haute sécurité, alors laissez simplement apt-get install debian-archive-keyring installez, et ignorez l'avertissement.

Il faudrait beaucoup d'efforts à quelqu'un pour mettre en place un MITM entre vous et un miroir aléatoire http.us.debian.org. Une fois qu'il l'a fait, il doit construire son propre paquet personnalisé debian-archive-keyring incluant sa clé maléfique en plus des clés standard. Ensuite, ils devraient reconstruire certains paquets pour vous forcer à installer quelque chose de maléfique sur votre système. L'effort nécessaire n'est pas négligeable.

Debian fait généralement un assez bon travail en ajoutant les clés qui seront utilisées pour signer les paquets dans le futur au paquet debian-archive-keyring. C'est un paquet que vous voulez vraiment garder à jour. De cette façon, vous aurez les clés installées avant qu'elles ne soient utilisées pour signer des choses, et vous n'aurez pas ce problème à l'avenir.

Répondu el 3 de Décembre, 2011 par jammus (1796 Points )

0 votes

Avatar de David Bullock

Oui, Chrome m'a donné une grosse alerte parce que le signataire du certificat SSL n'est pas fiable. Soupir.

Commenté el 3 de Décembre, 2011 par David Bullock

1 votes

Avatar de jammus

PS. POUR INFO. L'empreinte actuelle que j'ai pour la clé de signature Squeeze est la suivante 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9 et Lenny est 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6 .

Commenté el 3 de Décembre, 2011 par jammus

0 votes

Avatar de David Bullock

Eh bien, mes ennemis hypothétiques sont influents, donc ce n'est pas grave si le certificat SSL pour ftp-master.debian.org n'est pas signé par l'une des autorités de certification compromises auxquelles mon navigateur fait confiance. J'ai donc obtenu le plugin Convergence de Moxie Marlinspike pour Firefox. Du moins, je pense que c'est le cas - il n'a pas pris la peine de signer le module complémentaire que j'ai installé, et il a fait planter Firefox lorsque je l'ai installé. Je ne sais pas si les serveurs notariaux par défaut sont fiables, mais ils semblent d'accord pour dire que le site web de la clé est le même que celui que je consulte. Mais probablement que mes ennemis ont déjà compromis Debian. Alors bon sang, je fais avec.

Commenté el 3 de Décembre, 2011 par David Bullock
Afficher 3 autres commentaires

14voto

Booker avatar
Booker Points 111

Votre problème est que vous n'avez pas installé debian-keyring en même temps. Exécutez simplement ce qui suit :

apt-get install debian-keyring
apt-get install debian-archive-keyring

C'est tout.

Répondu el 4 de Mai, 2012 par Booker (111 Points )

1 votes

Avatar de Travis

Je peux confirmer que cela fonctionne

Commenté el 8 de Octobre, 2015 par Travis

3 votes

Avatar de ROSE

debian-keyring a rien à faire avec l'installation de paquets.

Commenté el 31 de Mars, 2019 par ROSE

5voto

Chaminda Bandara avatar
Chaminda Bandara Points 529

Debian - Apt-get : erreur NO_PUBKEY / GPG

Sur les ordinateurs basés sur un système d'exploitation Debian qui utilise le noyau Linux, des messages d'erreur peuvent apparaître comme "NO_PUBKEY", ce qui se produit lors de l'utilisation de l'outil de ligne de commande Apt-Get et cette erreur est associée à la fonction de mise à jour de l'outil. La nouvelle fonctionnalité de l'outil de gestion des paquets Apt-Get garantit l'authenticité du serveur avant la mise à jour du système d'exploitation Debian. C'est pourquoi l'erreur 'NO_PUBKEY' apparaît. Ce problème peut être résolu en tapant les commandes appropriées.

Il suffit de taper les commandes suivantes, en prenant soin de remplacer le numéro ci-dessous par celui de la clé qui a été affichée dans le message d'erreur :

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Répondu el 7 de Mars, 2016 par Chaminda Bandara (529 Points )

0 votes

Avatar de Chaminda Bandara

J'ai expérimenté la solution ci-dessus et cela a fonctionné pour moi. J'ai résolu le problème.

Commenté el 12 de Mars, 2016 par Chaminda Bandara

4voto

thinice avatar
thinice Points 4656

Deux choses :

  1. Votre fichier sources.list est peut-être incorrect ; êtes-vous sûr que ce sont les bonnes lignes pour ces dépôts ?

  2. Vous devrez localiser manuellement les fichiers Release.gpg sur ces dépôts et mettre à jour le trousseau de clés :

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Vous jouez peut-être avec le feu en mélangeant Lenny avec le dépôt stable.

Répondu el 3 de Décembre, 2011 par thinice (4656 Points )

2voto

rush avatar
rush Points 1941 
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
Répondu el 3 de Décembre, 2011 par rush (1941 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X