Ich bin auf eine Debian-Maschine gestoßen, die beim Versuch, Pakete zu aktualisieren, den viel diskutierten „GPG-Fehler“ ausgab:http://security.debian.orgwheezy/updates Release: Die folgenden Signaturen konnten nicht verifiziert werden, da der öffentliche Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553". Um die aktuellen Schlüssel zu importieren, muss das Paket debian-keyring installiert werden.
Da die Schlüssel auf dem Computer jedoch nicht mehr gültig sind, stellt sich die Frage, wie ich sicher sein kann, dass der Inhalt des Pakets nicht manipuliert wurde.
Antwort1
Wenn Sie das Hinzufügen und Verwenden des Schlüssels ausschließen, können Sie den MD5 immer noch manuell überprüfen.
Print the md5sum of the Packages file which is listed in the Release file.
sed -n "s,main/binary-i386/Packages$,,p" ftp.us.debian.org_debian_dists_sid_Release
# Print the md5sum of the Packages file itself.
md5sum ftp.us.debian.org_debian_dists_sid_main_binary-i386_Packages
Überprüfen Sie abschließend die MD5- oder SHA-Prüfsumme des Pakets selbst:
apt-cache show <package_name> | sed -n "s/MD5sum: //p" # Grab the checksum from the APT cache.
md5sum <binary_package_name>.deb # Compare it against the binary package's checksum.