Debian ¿Cómo puedo obtener de forma segura debian-archive-keyring, para poder hacer una actualización de apt-get? NO_PUBKEY

16

Tengo una trampa 22 tratando de:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

En http://wiki.debian.org/SecureApt#Other_problems señala que el problema NO_PUBKEY "significa que el archivo ha comenzado a ser firmado por una nueva clave, que su sistema no conoce ... y una vez que el sistema se alimenta nueva clave (al actualizar el paquete debian-archive-keyring), la advertencia desaparecerá "

OK, pero perversamente: 

   apt-get install debian-archive-keyring

me da

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

y la solución para eso es hacer una actualización de apt-get

Hay un agujero en el cubo, querida 'liza.

¿Alguien puede romper el ciclo por mí?

-

Nota: mi /etc/apt/sources.list es:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
debian apt public-key David Bullock
fuente
1
Si desea seguir con lenny, entonces debe reemplazar stablecon lennyel http.us.debian.org. Su actual sources.list probablemente dará como resultado un sistema roto. Si desea actualizar a Squeeze, debe reemplazar todas las stable/lennyreferencias y usar squeeze.
Zoredache

Respuestas:

13

¿Alguien puede romper el ciclo por mí?

Básicamente, está experimentando el problema de arranque estándar para la criptografía de clave pública .

Hay muchos lugares donde puede descargar las claves públicas para los diversos archivos, pero con frecuencia no se proporcionan a través de HTTPS, y los archivos de suma de verificación se entregan desde la misma ubicación.

Ese enlace wiki que proporcionó proporciona enlaces a https://ftp-master.debian.org/keys.html que proporciona una copia de las claves que puede descargar a través de SSL. El problema, por supuesto, es que el certificado para ftp-master.debian.org está firmado por ca.debian.org, que no se distribuye con los navegadores web más comunes.

Básicamente, solo tiene que encontrar una manera de obtener una copia de debian-archive-keyring, o la clave actual del sistema en el que confía, e instalarla en su sistema. Si eres realmente paranoico, es posible que tengas que tomar una copia del archivo y que otra persona tome una copia de otro espejo en una computadora diferente a través de una red diferente. Luego compara las sumas de verificación.

Si no eres extremadamente paranoico o estás en un entorno de alta seguridad, simplemente deja que se apt-get install debian-archive-keyringinstale e ignora la advertencia.

Se necesitaría mucho esfuerzo para que alguien configure un MITM entre usted y algún espejo http.us.debian.org aleatorio. Una vez que lo hicieran, tendrían que construir su propio paquete personalizado de debian-archive-keyring, incluida su clave malvada, además de las claves estándar. Luego tendrían que reconstruir algunos paquetes para obligarlo a instalar algo malvado en su sistema. El esfuerzo involucrado no sería trivial.

Debian generalmente hace un trabajo bastante bueno agregando claves que se usarán para firmar los paquetes en el futuro en el paquete debian-archive-keyring. Ese es un paquete, que realmente desea mantener actualizado. De esa manera, ingresará las claves instaladas antes de que se usen para firmar, y no tendrá este problema en el futuro.

Zoredache
fuente
Sí, Chrome me dio una gran alerta debido a que no se confiaba en el firmante del certificado SSL. Suspiro.
David Bullock
1
PS.FYI. La huella digital actual que tengo para la tecla de firma de compresión es 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9y lenny es 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6.
Zoredache
Bueno, mis enemigos hipotéticos son influyentes, por lo que no es gran cosa que el certificado SSL para ftp-master.debian.org no esté firmado por una de las CA comprometidas en las que mi navegador confía de inmediato. Así que obtuve el complemento de convergencia de Moxie Marlinspike para Firefox. Al menos creo que lo hice, no tuvo problemas para firmar el complemento que instalé, y se bloqueó Firefox cuando lo instalé. No tengo idea de si los servidores de notario predeterminados son confiables, pero parecen estar de acuerdo en que el sitio web clave es el mismo que estoy viendo. Pero probablemente mis enemigos ya comprometieron a Debian. Así que diablos, voy con eso.
David Bullock
Gracias por la huella digital. De alguna manera, correcta o incorrectamente, confío en alguien que da su tiempo para ayudar a un extraño.
David Bullock
1
Puede obtenerlos de la base de datos de claves mit pgp, si no le gusta sacarlos de los archivos. http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
Zoredache
10

Su problema es que tampoco instaló debian-keyring. Simplemente ejecute lo siguiente:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Eso es.

bombero
fuente
Puedo confirmar que esto funciona
aexl
debian-keyringno tiene nada que ver con la instalación de paquetes.
x-yuri
5

Debian - Apt-get: NO_PUBKEY / GPG error

En las computadoras basadas en un sistema operativo Debian que usa el kernel de Linux, pueden aparecer mensajes de error como 'NO_PUBKEY'. Esto sucede mientras se usa la herramienta de línea de comandos Apt-Get y este error está asociado con la función de actualización de la herramienta. La nueva característica de la herramienta de administración de paquetes Apt-Get garantiza la autenticidad del servidor antes de actualizar el sistema operativo Debian. Es por eso que aparece el error 'NO_PUBKEY'. Este problema se puede resolver ingresando los comandos apropiados.

Simplemente escriba los siguientes comandos, teniendo cuidado de reemplazar el número a continuación con el de la tecla que se mostró en el mensaje de error:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Chaminda Bandara
fuente
He experimentado la solución anterior y esto funcionó para mí. Resuelto el problema.
Chaminda Bandara
4

Dos cosas:

  1. Su archivo sources.list puede ser incorrecto; ¿estás seguro de que esas son las líneas correctas para esos repositorios?

  2. Tendrá que localizar manualmente los archivos Release.gpg en esos repositorios y actualizar el llavero:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Puede que estés jugando con fuego mezclando a lenny con el repositorio estable

hielo delgado
fuente
No estoy seguro sobre el # 1. Estaba siguiendo las instrucciones en spinifex.com.au/plugs/dphowtos.html#debian pero la línea "deb backports.org/debian lenny-backports main contrib non-free" estaba dando errores de descarga, así que seguí ciegamente backports-master.debian .org / Instrucciones Lo cambié a "deb backports.debian.org/debian-backports squeeze-backports main". Ahora lo tengo como "deb backports.debian.org/debian-backports lenny-backports main contrib non-free" ... ¿es eso mejor? (Odio jugar con fuego). Todavía obtengo 'NO_PUBKEY', así que haré tu # 2.
David Bullock, el
1 
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
prisa
fuente
1

Lo correcto es no preocuparse por obtener la clave de su máquina de forma segura, sino poder verificar con precisión su ruta de confianza a la clave una vez que la tenga en su máquina. Esto significa que desea encontrar una cadena de firmas donde se usó su clave gpg para firmar la clave de alguien que se usó para firmar la clave de alguien ... para que finalmente encuentre a alguien que firmó la clave de archivo.

Obviamente, esto sería tedioso si trataras de hacer esto a mano si estás a más de un par de pasos de la llave. wotsap es un paquete que lo ayudará a descubrir rutas desde su clave a las claves de las personas que han firmado directamente la clave de archivo.

Todo esto se basa en que tengas una clave gpg y participes en la firma de claves gpg, lo cual es absolutamente esencial si realmente quieres hacer esto correctamente.

estofado
fuente