Me encontré con una máquina Debian que, al intentar actualizar paquetes, arrojaba el ampliamente discutido "error GPG:http://security.debian.orgwheezy/updates Lanzamiento: Las siguientes firmas no se pudieron verificar porque la clave pública no está disponible: NO_PUBKEY 8B48AD6246925553". Para importar las claves actuales, es necesario instalar el paquete debian-keyring.
Pero dado que las claves de la máquina ya no son válidas, ¿cómo puedo estar seguro de que el contenido del paquete no ha sido manipulado?
Respuesta1
Si descarta agregar la clave y usarla, aún puede verificar el MD5 manualmente.
Print the md5sum of the Packages file which is listed in the Release file.
sed -n "s,main/binary-i386/Packages$,,p" ftp.us.debian.org_debian_dists_sid_Release
# Print the md5sum of the Packages file itself.
md5sum ftp.us.debian.org_debian_dists_sid_main_binary-i386_Packages
Finalmente, verifique la suma de verificación MD5 o SHA del propio paquete:
apt-cache show <package_name> | sed -n "s/MD5sum: //p" # Grab the checksum from the APT cache.
md5sum <binary_package_name>.deb # Compare it against the binary package's checksum.