ERROR: no se pudo verificar una o más firmas PGP, arch linux

22

Recientemente cambié a una distribución basada en arco llamada Manjaro .

Tengo problemas para instalar algunos paquetes desde el repositorio de aur arch

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

¿Qué necesito hacer para arreglar esto?

nelaaro
fuente

Respuestas:

31

Una vez que tenga el par de claves gpg local, puede importar la clave desconocida a su conjunto de claves de usuarios locales. En mi caso, la clave 5CC908FDB71E12C2debe importarse de la siguiente manera.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys ID de clave: importa las claves con las ID de clave proporcionadas desde un servidor de claves.

Si lo anterior falla, es posible que deba generar un almacén de claves / base de datos gpg local.

Es posible que estos pasos a continuación ya no sean necesarios, ya que el paso anterior ahora crea una base de datos de claves local para usted. Esto depende de su distribución, gpgversión y configuración.

Si aún no tiene una gpgbase de datos clave para su usuario local.

gpg --generate-key 

o

gpg --full-gen-key 

Lo que dicen los documentos.

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.
nelaaro
fuente
¿Es esto seguro? Al igual que, ¿no agrega claves aleatorias cuando sea necesario, no cumple con el propósito ...?
jcora
44
@jcora. Estas teclas le permiten instalar el software que desee. Debe decidir si es seguro. Estas son claves de terceros que verifican que el software que han creado en AUR es realmente de ellos. ¿Existe la posibilidad de que un paquete en AUR o en algún lugar tenga código malicioso? Lo cual requiere que confíes en la persona que crea el paquete. Más allá de eso, las claves verifican que nadie más haya modificado el paquete que recibió. Tienes que tomar la decisión y evaluar el riesgo.
nelaaro
bueno, estaba confundido porque generalmente las claves para los paquetes de AUR ya están incluidas automáticamente en mi sistema. ¿Estoy malinterpretando algo?
jcora
Estoy usando la distribución Manjor, que probablemente estaba desactualizada y me causaba problemas.
nelaaro
1
@EnricoMariaDeAngelis las claves gpg locales no están inicializadas, no tiene un anillo de claves que es solo un archivo que almacena una lista de claves que ha importado / aceptado. --full-gen-keygarantiza que se creen todos los archivos para que pueda importar claves a su anillo de claves local.
nelaaro