FEHLER: Eine oder mehrere PGP-Signaturen konnten nicht überprüft werden, arch linux

26853
nelaaro

Ich habe vor kurzem zu einem Arch-basierten Distro-Call Manjaro gewechselt .

Ich habe Probleme beim Installieren einiger Pakete aus dem aur arch-Repository

 curl-7.54.0.tar.gz ... Passed curl-7.54.0.tar.gz.asc ... Skipped ==> Verifying source file signatures with gpg... curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2) ==> ERROR: One or more PGP signatures could not be verified! 

Was muss ich tun, um das Problem zu beheben?

14

1 Antwort auf die Frage

22
nelaaro

Wenn Sie über ein lokales gpg-Schlüsselpaar verfügen, können Sie den unbekannten Schlüssel in den Schlüsselsatz Ihrer lokalen Benutzer importieren. In meinem Fall muss der Schlüssel 5CC908FDB71E12C2wie folgt importiert werden.

gpg --recv-keys 5CC908FDB71E12C2 

--recv-keys Schlüssel-IDs: Importieren Sie die Schlüssel mit den angegebenen Schlüssel-IDs von einem Keyserver.

Wenn Sie noch keine eigene GPG-Schlüsseldatenbank für Ihren lokalen Benutzer erstellt haben.

gpg --full-gen-key 

-full-gen-key: Erzeugt ein neues Schlüsselpaar.

Ist das sicher? Das Hinzufügen von zufälligen Schlüsseln, wann immer Sie müssen, führt nicht zum Ziel ...? jcora vor 6 Jahren 0
@jcora. Mit diesen Schlüsseln können Sie die gewünschte Software installieren. Sie müssen entscheiden, ob es sicher ist. Dies sind Schlüssel von Drittanbietern, die überprüfen, ob die in AUR erstellte Software tatsächlich von ihnen stammt. Gibt es eine Möglichkeit, dass ein Paket in AUR oder irgendwo bösartigen Code enthält, ja. Dabei müssen Sie der Person, die das Paket erstellt, vertrauen. Darüber hinaus stellen die Schlüssel sicher, dass niemand das erhaltene Paket geändert hat. Sie müssen die Entscheidung treffen und das Risiko bewerten. nelaaro vor 6 Jahren 3
Nun, ich war verwirrt, da normalerweise die Schlüssel für AUR-Pakete bereits automatisch in meinem System enthalten sind. Verstehe ich etwas falsch? jcora vor 6 Jahren 0
Ich benutze die Manjor-Distribution, die wahrscheinlich nicht mehr aktuell ist und Probleme für mich verursacht. nelaaro vor 6 Jahren 0
@nelaaro, könnte ein paar Details zu _Nachdem Sie ein lokales gpg-Schlüsselpaar haben _? Ist ein solches lokales Schlüsselpaar erforderlich, damit der Befehl "--recv-keys" funktioniert? Enrico Maria De Angelis vor 6 Jahren 0
@EnricoMariaDeAngelis Die lokalen gpg-Schlüssel werden nicht initialisiert. Sie haben keinen Schlüsselring. Dies ist lediglich eine Datei, in der eine Liste der Schlüssel gespeichert ist, die Sie importiert / akzeptiert haben. `--full-gen-key` stellt sicher, dass alle Dateien erstellt werden, damit Sie Schlüssel in Ihren lokalen Schlüsselring importieren können. nelaaro vor 6 Jahren 1