19.09.2014, 14:01 UhrDeutsch | English
Hallo Gast [ Registrierung | Anmelden ]

Signing (Unterschreiben) per GPG


Anmerkung: Nachfolgende Beschreibung ist richtig. Etwas eleganter, auf einen Schlag, installiert man fehlende Key´s so

 for k in $(apt-get update 2>&1|grep -o NO_PUBKEY.*|sed 's/NO_PUBKEY //g');
do gpg --recv-keys --keyserver wwwkeys.eu.pgp.net $k;gpg --armor --export $k|apt-key add -;done 

jokobau


Beim Update der apt-get Datenbank gibt es manchmal Fehlermeldungen, dass ein GPG-Schlüssel fehlt. Beispiel für eine solche Meldung:

GPG error: http://kanotix.com ./ Release: The following signatures couldn't be verified because the public 
key is not available: NO_PUBKEY FB1A399A71409CDF

Bei apt-get wurde inzwischen das Signing (Unterschreiben) per GPG eingeführt. Damit das auch funktioniert, müssen wir GPG bzw. apt-get erstmal die entsprechenden Schlüssel zur Verfügung stellen. Der Schlüssel hört im Beispiel auf den Namen FB1A399A71409CDF - der Server ist dort kanotix.
Um die Fehlermeldung wegzubekommen und vor allem ein Verifizieren der Pakete zu ermöglichen, kann man folgendermassen vorgehen (SCHLÜSSEL und SERVER jeweils ersetzen):

Als beliebiger User besorgen wir uns den Schlüssel:

gpg --keyserver wwwkeys.eu.pgp.net --recv-keys SCHLÜSSEL


Jetzt exportieren wir diesen Schlüssel für apt-get:

gpg --export SCHLÜSSEL > /home/beliebiger_user/SERVER.key


(Alternativ zu den beiden ersten Schritten bzw. wenn man hinter einer Firewall sitzt, kann man den Schlüssel-Daten-Block über http://www.heise.de/security/dienste/pgp/keyserver.shtml holen. Als Key-ID, nach der gesucht wird, reichen die letzten acht Zeichen des Schlüssels mit vorangestelltem 0x, für Kanotix also 0x71409CDF aus. Danach kann er per "cut and paste" in eine Datei geschrieben werden - z.B. /home/beliebiger_user/SERVER.key)

Dann informieren wir apt-get noch darüber (jetzt als root!):

apt-key add /home/beliebiger_user/SERVER.key


Die Datei SERVER.key wird danach nicht mehr gebraucht und kann gelöscht werden.

Alternativ kann man die letzten beiden Schritte auch zusammenfassen (als root ausführen):
gpg --export SCHLÜSSEL | apt-key add -

Dies erstellt auch keine tote Datei.

Mehr Infos (die ersten drei sind englisch):

http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-deb-pack-sign
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-apt-0.6
http://lists.debian.org/debian-devel/2003/12/msg01986.html
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-apt-0.6

zurück
XML Revisions of $tag
Seiten-History :: Letzter Editor : jokobau :: Eigentümer : HorstNagel ::
Powered by pnWikka 1.0
 
 
Deutsch | English
Logos and trademarks are the property of their respective owners, comments are property of their posters, the rest is © 2004 - 2006 by Jörg Schirottke (Kano).
Consult Impressum and Legal Terms for details. Kanotix is Free Software released under the GNU/GPL license.
This CMS is powered by PostNuke, all themes used at this site are released under the GNU/GPL license. designed and hosted by w3you. Our web server is running on Kanotix64-2006.