エラー:1つ以上のPGP署名を検証できませんでした、arch linux


22

私は最近、アーチベースのディストリビューションであるManjaroに切り替えました。

aur archリポジトリからいくつかのパッケージをインストールする際に問題があります

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

これを修正するには何をする必要がありますか?

回答:


31

ローカルgpgキーペアを取得したら、ローカルユーザーのキーセットに不明なキーをインポートできます。私の場合、キー5CC908FDB71E12C2は次のようにインポートする必要があります。

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <daniel@haxx.se>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-keys key IDs:キーサーバーから指定されたキーIDを持つキーをインポートします。

上記が失敗した場合、ローカルgpgキーストア/データベースを生成する必要があるかもしれません。

上記の手順によりローカルキーデータベースが作成されるようになったため、以下の手順は不要になる場合があります。これは、ディストリビューションとgpgバージョンおよび構成に依存します。

gpgローカルユーザーのキーデータベースがまだない場合。

gpg --generate-key 

または

gpg --full-gen-key 

ドキュメントが言うこと。

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.

これは安全ですか?好きなときにいつでもランダムなキーを追加しないで、目的を打ち負かして...
jcora

4
@jcora。これらのキーを使用すると、必要なソフトウェアをインストールできます。安全かどうかを判断する必要があります。これらはサードパーティのキーであり、AURで作成したソフトウェアが実際にそれらからのものであることを確認します。AURのパッケージまたは悪意のあるコードが含まれている可能性はありますか?そのため、パッケージを作成する人を信頼する必要があります。さらに、キーは、受け取ったパッケージを誰も変更していないことを確認します。決定を下し、リスクを評価する必要があります。
-nelaaro

通常、AURパッケージのキーはすでにシステムに自動的に含まれているため、混乱しました。私は何かを誤解していますか?
jcora

おそらく時代遅れのManjorディストリビューションを使用していて、問題を引き起こしています。
-nelaaro

1
@EnricoMariaDeAngelisローカルgpgキーは初期化されません。インポート/受け入れたキーのリストを保存するファイルであるキーリングはありません。--full-gen-keyローカルキーリングにキーをインポートできるように、すべてのファイルが作成されるようにします。
-nelaaro
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.