Discussion:
Verständnisfrage GPG error: http://www.debian-multimedia.org
(zu alt für eine Antwort)
Heiner Gewiehs
2006-09-12 08:10:12 UTC
Permalink
Hallo zusammen,

diesen "öffentliche Schlüssel" verstehe ich als reinen Sicherheitsnachweis
für verlässliche Quellen - OK?

Das heisst, wenn man weiss von wo man seine Pakete bezieht kann man versuchen,
diese Prüfung abzuschalten - ist das auch OK?

Ich möchte von "http://www.debian-multimedia.org" XdTV installieren und
erhalte folgende Meldung:

W: GPG error: http://www.debian-multimedia.org experimental Release: Die
folgenden Signaturen konnten nicht geprüft werden weil der zugehörige
öffentliche Schlüssel nicht zur Verfügung steht: NO_PUBKEY 07DC563D1F41B907

Zum Abschalten habe ich folgendes gefunden:
gpg --keyserver subkeys.pgp.net --recv-keys 276981F4
gpg --armor --export 276981F4 | apt-key add -
apt-get update

übertragen hieße das, dass ich obigen Befehl nehmen könnte und anstelle von
276981F4 setze ich dann 1F41B907?

Kann ich gefahrlos so verfahren? Hat sich daran etwas geändert?

Vielen Dank
Heiner
--
****************************************
Heiner Gewiehs*Marketing-Fachkfm.
Krimhildstr.7*63868 Großwallstadt
Fon:06022-654167*Fax:06022-656071
****************************************
Evgeni Golov
2006-09-12 08:10:16 UTC
Permalink
Post by Heiner Gewiehs
diesen "öffentliche Schlüssel" verstehe ich als reinen
Sicherheitsnachweis für verlässliche Quellen - OK?
Das heisst, wenn man weiss von wo man seine Pakete bezieht kann man
versuchen, diese Prüfung abzuschalten - ist das auch OK?
Nein, durch das unten stehende deaktivierst du die Prüfung nicht,
sondern aktivierst die erst wirklich. ;-)

Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert
ist, und due den Publickey importiert hast, wird es überprüfen, ob das
Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht
fehlschlägt, siehst du davon nichts.
Wenn du den Key allerdings noch nicht hast (so wie jetzt) findet Apt
ein signiertes Paket, weiß es aber mnit keinem Schlüssel zu prüfen und
mault rum.
Post by Heiner Gewiehs
Ich möchte von "http://www.debian-multimedia.org" XdTV installieren
Die folgenden Signaturen konnten nicht geprüft werden weil der
zugehörige öffentliche Schlüssel nicht zur Verfügung steht: NO_PUBKEY
07DC563D1F41B907
gpg --keyserver subkeys.pgp.net --recv-keys 276981F4
gpg --armor --export 276981F4 | apt-key add -
apt-get update
übertragen hieße das, dass ich obigen Befehl nehmen könnte und
anstelle von 276981F4 setze ich dann 1F41B907?
Kann ich gefahrlos so verfahren? Hat sich daran etwas geändert?
Du darfst. Siehe auch http://www.debian-multimedia.org/faq.html ;-)
Aber wie gesagt "Abschalten" ist das falsche Wort hier.
--
^^^ | Evgeni -SargentD- Golov (***@die-welt.net)
d(O_o)b | PGP-Key-ID: 0xAC15B50C
Post by Heiner Gewiehs
-|-< | WWW: http://www.die-welt.net ICQ: 54116744
/ \ | IRC: #sod @ irc.german-freakz.net
Heiner Gewiehs
2006-09-12 08:50:12 UTC
Permalink
Post by Evgeni Golov
Post by Heiner Gewiehs
diesen "öffentliche Schlüssel" verstehe ich als reinen
Sicherheitsnachweis für verlässliche Quellen - OK?
Das heisst, wenn man weiss von wo man seine Pakete bezieht kann man
versuchen, diese Prüfung abzuschalten - ist das auch OK?
Nein, durch das unten stehende deaktivierst du die Prüfung nicht,
sondern aktivierst die erst wirklich. ;-)
Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert
ist, und due den Publickey importiert hast, wird es überprüfen, ob das
Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht
fehlschlägt, siehst du davon nichts.
Wenn du den Key allerdings noch nicht hast (so wie jetzt) findet Apt
ein signiertes Paket, weiß es aber mnit keinem Schlüssel zu prüfen und
mault rum.
Post by Heiner Gewiehs
Ich möchte von "http://www.debian-multimedia.org" XdTV installieren
Die folgenden Signaturen konnten nicht geprüft werden weil der
zugehörige öffentliche Schlüssel nicht zur Verfügung steht: NO_PUBKEY
07DC563D1F41B907
gpg --keyserver subkeys.pgp.net --recv-keys 276981F4
gpg --armor --export 276981F4 | apt-key add -
apt-get update
übertragen hieße das, dass ich obigen Befehl nehmen könnte und
anstelle von 276981F4 setze ich dann 1F41B907?
Kann ich gefahrlos so verfahren? Hat sich daran etwas geändert?
Du darfst. Siehe auch http://www.debian-multimedia.org/faq.html ;-)
Aber wie gesagt "Abschalten" ist das falsche Wort hier.
na toll, was will er mir mit folgender Meldung sagen?
Junge Junge, da werden ja mehr Fragen aufgeworfen als wie gelöst.

************************************************
***@boss:~$ sudo gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys
1F41B907
gpg: WARNUNG: Unsicheres Besitzverhältnis der Konfigurationsdatei
`/home/heiner/.gnupg/gpg.conf'
gpg: Ausführen von externen Programmen ist ausgeschaltet, da die Dateirechte
nicht sicher sind
gpg: Kommunikation mit Schlüsselserver fehlgeschlagen: Allgemeiner Fehler
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Allgemeiner Fehler
***@boss:~$ gpg --keyserver subkeys.pgp.net --recv-keys 1F41B907
gpg: Schlüssel 1F41B907 von hkp Server subkeys.pgp.net anfordern
gpg: Schlüssel 1F41B907: "Christian Marillat <***@debian.org>" 13 neue
Signaturen
gpg: '/home/heiner/.gnupg/secring.gpg' kann nicht geöffnet werden
gpg: kein uneingeschränkt vertrauenswürdiger Schlüssel 080F3C94 gefunden
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: neue Signaturen: 13
***@boss:~$ gpg --armor --export 1F41B907 | apt-key add
gpg: '' kann nicht geöffnet werden: No such file or directory
***@boss:~$ sudo gpg --armor --export 1F41B907 | apt-key add
gpg: '' kann nicht geöffnet werden: No such file or directory
gpg: WARNUNG: Unsicheres Besitzverhältnis der Konfigurationsdatei
`/home/heiner/.gnupg/gpg.conf'
gpg: [stdout]: write error: Broken pipe
gpg: [stdout]: write error: Broken pipe
gpg: [stdout]: write error: Broken pipe
gpg: iobuf_flush failed on close: Dateischreibfehler
***@boss:~$ apt-get update
E: Konnte Lockdatei /var/lib/apt/lists/lock nicht öffnen - open (13 Permission
denied)
E: Kann kein Lock auf das Listenverzeichnis bekommen
******************************************************

Fehlende Rechte?
z.B. bei .gnupg (user:heiner / gruppe:heiner?)
bei SuSE z.B. hatte ich user:heiner / gruppe:users

Habe gerade nachgesehen, was "gpg" anbelangt sind nur folgende Pakete
installiert:
libgpg-error0
libgpgmell
python-gnupginterface

ist das korrekt?
Jetzt stehe ich ganz schön "auf der Rolle". Was soll ich tun?

Vielen Dank
Heiner
--
****************************************
Heiner Gewiehs*Marketing-Fachkfm.
Krimhildstr.7*63868 Großwallstadt
Fon:06022-654167*Fax:06022-656071
****************************************
ilya margolin
2006-09-12 11:10:07 UTC
Permalink
Post by Heiner Gewiehs
Post by Evgeni Golov
Post by Heiner Gewiehs
diesen "öffentliche Schlüssel" verstehe ich als reinen
Sicherheitsnachweis für verlässliche Quellen - OK?
Das heisst, wenn man weiss von wo man seine Pakete bezieht kann man
versuchen, diese Prüfung abzuschalten - ist das auch OK?
Nein, durch das unten stehende deaktivierst du die Prüfung nicht,
sondern aktivierst die erst wirklich. ;-)
Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert
ist, und due den Publickey importiert hast, wird es überprüfen, ob das
Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht
fehlschlägt, siehst du davon nichts.
Wenn du den Key allerdings noch nicht hast (so wie jetzt) findet Apt
ein signiertes Paket, weiß es aber mnit keinem Schlüssel zu prüfen und
mault rum.
Post by Heiner Gewiehs
Ich möchte von "http://www.debian-multimedia.org" XdTV installieren
Die folgenden Signaturen konnten nicht geprüft werden weil der
zugehörige öffentliche Schlüssel nicht zur Verfügung steht: NO_PUBKEY
07DC563D1F41B907
gpg --keyserver subkeys.pgp.net --recv-keys 276981F4
gpg --armor --export 276981F4 | apt-key add -
apt-get update
ich wuerde das da alles als root machen.
Post by Heiner Gewiehs
Post by Evgeni Golov
Post by Heiner Gewiehs
übertragen hieße das, dass ich obigen Befehl nehmen könnte und
anstelle von 276981F4 setze ich dann 1F41B907?
Kann ich gefahrlos so verfahren? Hat sich daran etwas geändert?
Du darfst. Siehe auch http://www.debian-multimedia.org/faq.html ;-)
Aber wie gesagt "Abschalten" ist das falsche Wort hier.
na toll, was will er mir mit folgender Meldung sagen?
Junge Junge, da werden ja mehr Fragen aufgeworfen als wie gelöst.
************************************************
1F41B907
gpg: WARNUNG: Unsicheres Besitzverhältnis der Konfigurationsdatei
`/home/heiner/.gnupg/gpg.conf'
gpg: Ausführen von externen Programmen ist ausgeschaltet, da die Dateirechte
nicht sicher sind
die erste Ausgabezeile meint, was sie sagt.
dem gpg, der als root gestartet ist, kommt es komisch vor, dass seine
konfigdateien (/home/heiner/.gnupg, $HOME ist immer noch /home/heiner/)
jemandem anderen gehoeren.
also eventuell alles als root oder auch so:
gpg --keyserver subkeys.pgp.net --recv-keys 1F41B907
gpg --armor --export 1F41B907 | sudo apt-key add -
sudo apt-get update
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Daniel Leidert
2006-09-12 13:10:32 UTC
Permalink
[..]
Post by Heiner Gewiehs
Post by Evgeni Golov
Du darfst. Siehe auch http://www.debian-multimedia.org/faq.html ;-)
Aber wie gesagt "Abschalten" ist das falsche Wort hier.
na toll, was will er mir mit folgender Meldung sagen?
Junge Junge, da werden ja mehr Fragen aufgeworfen als wie gelöst.
************************************************
1F41B907
Sagst du mir, wozu du hier sudo brauchst?
Post by Heiner Gewiehs
gpg: WARNUNG: Unsicheres Besitzverhältnis der Konfigurationsdatei
`/home/heiner/.gnupg/gpg.conf'
Deine gpg.conf ist für andere lesbar.

[..]
Post by Heiner Gewiehs
gpg: Schlüssel 1F41B907 von hkp Server subkeys.pgp.net anfordern
Signaturen
gpg: '/home/heiner/.gnupg/secring.gpg' kann nicht geöffnet werden
Exisitiert die überhaupt? Wenn man mit gpg arbeitet, muss man es zuerst
einmal aufrufen, damit die gnupg-Infratsruktur erstellt wird (IIRC habe
ich sogar etwas in Erinnerung, dass man gpg dazu zweimal aufruft und
einen Schlüssel anlegt).

[..]
Post by Heiner Gewiehs
gpg: '' kann nicht geöffnet werden: No such file or directory
apt-key muss als Root aufgerufen werden.

[..]
Post by Heiner Gewiehs
`/home/heiner/.gnupg/gpg.conf'
gpg: [stdout]: write error: Broken pipe
gpg: [stdout]: write error: Broken pipe
gpg: [stdout]: write error: Broken pipe
gpg: iobuf_flush failed on close: Dateischreibfehler
Klingt immer noch nach fehlnden Rechten.
Post by Heiner Gewiehs
E: Konnte Lockdatei /var/lib/apt/lists/lock nicht öffnen - open (13 Permission
denied)
E: Kann kein Lock auf das Listenverzeichnis bekommen
******************************************************
apt-get update benötigt Root-Rechte.
Post by Heiner Gewiehs
Fehlende Rechte?
z.B. bei .gnupg (user:heiner / gruppe:heiner?)
bei SuSE z.B. hatte ich user:heiner / gruppe:users
Habe gerade nachgesehen, was "gpg" anbelangt sind nur folgende Pakete
libgpg-error0
libgpgmell
python-gnupginterface
ist das korrekt?
apt-cache policy gnupg

MfG Daniel
Alexander Schmehl
2006-09-12 09:00:21 UTC
Permalink
Hi!
Post by Evgeni Golov
Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert
ist, und due den Publickey importiert hast, wird es überprüfen, ob das
Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht
fehlschlägt, siehst du davon nichts.
Kleine Korrektur: Nicht die Pakete sind per gpg signiert, sondern die
Release-Datei [1], [2]. Da steht drin, für welche Architekturen es
dieses Archiv gibt, und wann es aktualisiert wurde, und wo sich die
Packages-Datei(en) beginden und die md5-Summe selbiger. In Packages
stehen dann wiederrum die md5-Summen der einzelnen Pakete, so dass apt
sich von vertrauenswürdig signierter Release-Datei, über korrekte
Packages-Datei zu korrektem Paket hangeln kann.

Der Hauptgrund nicht die Pakete selbst zu signieren ist AFAIK
Rechenleistung; das derzeitige Verfahren ist hinreichend sicher und
resourcenschonender als jedes Paket einzeln zu signieren.

Rest der Mail stimmte aber ;)


Links:
1: http://ftp.de.debian.org/debian/dists/testing/Release
2: http://ftp.de.debian.org/debian/dists/testing/Release.gpg

Yours sincerely,
Alexander
--
http://learn.to/quote/
http://www.catb.org/~esr/faqs/smart-questions.html
Daniel Leidert
2006-09-12 13:20:07 UTC
Permalink
Post by Alexander Schmehl
Post by Evgeni Golov
Apt kann mit PGP/GPG Signaturen umgehen. Wenn ein Paket also signiert
ist, und due den Publickey importiert hast, wird es überprüfen, ob das
Paket wirklich aus dieser Quelle stamm - sofern die Überprüfung nicht
fehlschlägt, siehst du davon nichts.
Kleine Korrektur: Nicht die Pakete sind per gpg signiert, sondern die
Release-Datei [1], [2]. [..]
Der Hauptgrund nicht die Pakete selbst zu signieren ist AFAIK
Rechenleistung; das derzeitige Verfahren ist hinreichend sicher und
resourcenschonender als jedes Paket einzeln zu signieren.
Wird aber auch im "Securing Manual" beschrieben (für die, die es
interessiert).

[..]
Post by Alexander Schmehl
1: http://ftp.de.debian.org/debian/dists/testing/Release
2: http://ftp.de.debian.org/debian/dists/testing/Release.gpg
http://wiki.debian.org/SecureApt
man apt-secure
http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign

MfG Daniel

Loading...