Salut à tous,
Depuis un certain temps (quelques jours je dirais), mon apt-get n'arrive plus à vérifier la signature des paquets qu'il télécharge sur ftp.fr.debian.org, ni sur ftp.debian.org.
Il me met une erreur toute laide (W: GPG error: ftp://ftp.fr.debian.org(...) sid Release: Unknown error executing gpgv)
Après quelques petites recherches, il semble que ce soit la vacuité totale du Release.gpg sur le serveur qui en soit la cause. En effet, un petit « wget ftp://ftp.debian.org/debian/dists/unstable/Release.gpg(...) » ne fait que confirmer ladite vacuité : « 16:28:13 (0.00 B/s) - « Release.gpg » sauvegardé [0] ».
Ma connaissance du système de signature d'apt, de GPG, et de la vacuité totale étant plus que limitée, je me permets de lancer un appel à l'aide : comment que je peux installer des paquets qui ne seraient pas haXorizays ? Bref.
Quelqu'un a-t-il des infos à ce propos ? Je précise que j'ai testé apt-get -o Debug::Acquire::gpgv=yes update, et également apt-get -o Debug::pkgAcquire::Auth=true update, sans rien découvrir d'autre que la maintenant fameuse vacuité.
Merci.
Forum Linux.debian/ubuntu Vérification des paquets Unstable par GPG
29
jan.
2005
# Version d'APT
Posté par bmc . Évalué à 2.
$ apt-get --version
apt 0.6.25 pour linux i386 est compilé le Jun 9 2004 05:37:07 [encore un qui a fait une nuit blanche]
Modules reconnus :
*Ver: Standard .deb
*Pkg: Debian dpkg interface (Priority 30)
S.L: 'deb' Standard Debian binary tree
S.L: 'deb-src' Standard Debian source tree
Idx: Debian Source Index
Idx: Debian Package Index
Idx: Debian dpkg status file
# apt/experimental
Posté par free2.org . Évalué à 2.
qui marche bien et qui est le seul à vérifier les signatures
il faut d'ailleurs que je mette à jour ma page d'explication sur apt_preferences
(si quelqu'un veut m'aider ...)
SOLUTION:
http://ftp-master.debian.org/ziyi_key_2005.asc(...)
gpg --no-default-keyring --keyring /etc/apt/trusted.gpg --import ziyi_key_2005.asc
MA PAGE SUR APT:
http://free2.org/d/(...)
[^] # Re: apt/experimental
Posté par bmc . Évalué à 2.
Merci de la réponse.
J'avais déjà essayé cette opération (en tombant sur ta page d'ailleurs, merci bien :), et cela a effectivement corrigé un des 3 problèmes que j'avais (mais pas celui des Release.gpg, qui s'est corrigé tout seul comme un grand le temps qu'ils les remplissent).
Voilà mon /etc/apt/trusted.gpg (j'ai viré les ziyi's key de 2003 et 2004) :
# gpg --no-default-keyring --keyring /etc/apt/trusted.gpg --list-keys
/etc/apt/trusted.gpg
--------------------
pub 1024D/4F368D5D 2005-01-31 [expire: 2006-01-31]
uid Debian Archive Automatic Signing Key (2005) <ftpmaster@debian.org>
pub 1024D/1F41B907 1999-10-03
uid Christian Marillat <marillat@debian.org>
uid Christian Marillat <marillat@free.fr>
uid Christian Marillat <marillat.christian@wanadoo.fr>
sub 1536g/C28DCC42 1999-10-03
Le troisième et dernier problème, qui persiste, est que les paquets ne sont pas reconnus signés par dpkg. Du style :
Authentification de /var/cache/apt/archives/mozilla-thunderbird-enigmail_2%3a0.90.0-1_i386.deb ...
debsig: Origin Signature check failed. This deb might not be signed.
J'arrive à installer parce que je fais le goret (force-bad-verify dans /etc/dpkg/dpkg.cfg).
Mon /etc/apt/sources.list :
# Experimental
deb ftp://ftp.fr.debian.org/debian(...) experimental main contrib non-free
# Unstable
deb ftp://ftp.fr.debian.org/debian(...) sid main contrib non-free
deb http://ftp.fr.debian.org/debian-non-US(...) sid/non-US main contrib non-free
deb ftp://ftp.nerim.net/debian-marillat/(...) unstable main
Mon /etc/apt/preferences :
Package: *
Pin: release a=unstable
Pin-Priority: 999
Package: *
Pin: release a=experimental
Pin-Priority: 1001
Ma Debian est à jour.
Strange, isn't it ?
[^] # Re: apt/experimental
Posté par free2.org . Évalué à 1.
Pin-Priority: 1001
Donner une priorité supérieure à experimental est dangereux.... (voir ma page apt)
je sens que ton probleme de dpkg vient de là aussi
(essaye un apt-get install dpkg/unstable ou dpkg/testing)
A ma connaissance les .debs ne sont pas signés car ils n'en ont pas besoin.
Les Release.gpg certifient que la liste de tous les hashs md5/sha de tous les paquets est authentique.
Tout paquet que tu installes "via apt-get install" aura son hash vérifié par rapport à cette liste, et cela suffit à garantir son authenticité.
Si ce que je dis n'est pas clair, il doit y avoir un document en anglais sur la debian "chain of trust" quelque part.
[^] # Re: apt/experimental
Posté par bmc . Évalué à 2.
Si je comprends bien, debsig-verify ne fait qu'un hash du paquet, pour trouver une somme MD5, qui sera comparée à celle issue du Release, qui est lui-même certifié comme bon grâce au Release.gpg signé par la clé du ftp master de Debian ? Dans ce cas, je ne comprends pas ce qui merde... puisqu'à aucun moment apt ne se plaint du fait que l'installation de paquets non authentifiés soit demandé (ce qui m'arrivait avant que la clé ziyi soit ajoutée au /etc/apt/trusted.gpg).
Un moyen (switch, gdb, autre) de vérifier où ça coince ?
Merci beaucoup de ton aide.
[^] # Re: apt/experimental
Posté par free2.org . Évalué à 1.
non, c'est le nouvel APT de experimental qui fait ça à chaque fois que tu fais apt-get install (au moins tu as bien compris ce qu'il fait !)
debsig-verify vérifie une signature éventuellement incluse dans le paquet, mais qui n'est pas incluse dans les paquets officiels debian car le nouvel apt fait ce travail
bon ben y'a du boulot pour expliquer ça sur ma page :)
[^] # Re: apt/experimental
Posté par bmc . Évalué à 2.
# Ayé
Posté par bmc . Évalué à 2.
Le paquet experimental de dpkg a dû enlever l'option « no-debsig » dans mon /etc/dpkg/dpkg.cfg, ce qui a mis le feu aux poudres ;)
Merci de ton aide Free2.org :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.