Я столкнулся с машиной Debian, на которой при попытке обновления пакетов возникла широко обсуждаемая ошибка «GPG:http://security.debian.orgwheezy/updates Выпуск: Следующие подписи не могут быть проверены, поскольку открытый ключ недоступен: NO_PUBKEY 8B48AD6246925553". Для импорта текущих ключей необходимо установить пакет debian-keyring.
Но поскольку ключи на машине больше недействительны, как я могу быть уверен, что содержимое пакета не было подделано?
решение1
Если вы исключаете добавление ключа и его использование, вы все равно можете проверить MD5 вручную.
Print the md5sum of the Packages file which is listed in the Release file.
sed -n "s,main/binary-i386/Packages$,,p" ftp.us.debian.org_debian_dists_sid_Release
# Print the md5sum of the Packages file itself.
md5sum ftp.us.debian.org_debian_dists_sid_main_binary-i386_Packages
Наконец, проверьте контрольную сумму MD5 или SHA самого пакета:
apt-cache show <package_name> | sed -n "s/MD5sum: //p" # Grab the checksum from the APT cache.
md5sum <binary_package_name>.deb # Compare it against the binary package's checksum.