GPG jak skutecznie zaktualizować bazę kluczy?

majo · 4 Luty 2023 12:34

Próbuję zaktualizować pakiet AUR (en) - qpdfview .
Jest tam zalecenie opiekuna, aby zaktualizować klucz i tu pojawia się pierwszy problem:

gpg --recv-keys F4928C4DD24D4DF8
gpg: odbiór z serwera kluczy nie powiódł się: Serwer wskazał niepowodzenie

Na 3 róże sposoby próbowałem zaktualizować bazę kluczy.
Poniżej pokazuję to, co wyszło na bazie przejrzystej instrukcji by @Tomek.
Pojawiają się tu problemy ( możliwe, że to one generują problem z kluczem do qpdfview). Wygląda to tak:
Dwie pierwsze komendy poszły bez błędów:

sudo pacman -Syy
sudo rm -r /etc/pacman.d/gnupg

Komenda sudo pacman -Sy gnupg archlinux-keyring manjaro-keyring wygenerowała błędy:

ostrzeżenie: Publiczny zestaw kluczy nie został odnaleziony; czy uruchomiłeś 'pacman-key --init'?
pobieranie potrzebnych kluczy…
błąd:  zestaw kluczy jest niezapisywalny
błąd:  zestaw kluczy jest niezapisywalny
błąd:  zestaw kluczy jest niezapisywalny
błąd:  brak wymaganego klucza w pęku kluczy
błąd:  nie udało się dokonać transakcji (niespodziewany błąd)

Zatem wykonałem wskazaną komendę i chyba nie m tu błędów:

sudo pacman-key --init
gpg: /etc/pacman.d/gnupg/trustdb.gpg: baza zaufania utworzona
gpg: brak absolutnie zaufanych kluczy
gpg: starting migration from earlier GnuPG versions
gpg: porting secret keys from '/etc/pacman.d/gnupg/secring.gpg' to gpg-agent
gpg: migration succeeded
==> Generowanie klucza głównego pacmana. To może zająć trochę czasu.
gpg: Generating pacman keyring master key...
gpg: katalog ,,/etc/pacman.d/gnupg/openpgp-revocs.d'' utworzony
gpg: certyfikat unieważnienia został zapisany jako ,,/etc/pacman.d/gnupg/openpgp-revocs.d/C6CF84FD5A0B98B7AE1E42AE15F830FE432151FA.rev''
gpg: Done
==> Aktualizacja zaufanej bazy danych...
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: poziom: 0 poprawnych:   1 podpisanych:   0 zaufanie: 0-,0q,0n,0m,0f,1u

Następnie ponowiłem komendę sudo pacman -Sy gnupg archlinux-keyring manjaro-keyring , która zakończyła się tym razem innymi błędami.
Wybierałem tu domyślną opcje “T” aby usunąć Niepoprawny lub uszkodzony pakiet (podpis PGP), bo chyba tak powinienem tu zrobić?

pobieranie potrzebnych kluczy…
:: Zaimportować klucz PGP 139B09DA5BF0D338, "David Runge <dvzrv@archlinux.org>"? [T/n] 
:: Zaimportować klucz PGP 6D42BDD116E0068F, "Christian Hesse <eworm@archlinux.org>"? [T/n] 
:: Zaimportować klucz PGP CAA6A59611C7F07E, "Philip Müller <philm@manjaro.org>"? [T/n] 
(3/3) sprawdzanie spójności pakietów               [######################] 100%
błąd:  gnupg: podpis od "David Runge <dvzrv@archlinux.org>" posiada nieznane zaufanie
:: Plik /var/cache/pacman/pkg/gnupg-2.2.40-1-x86_64.pkg.tar.zst jest uszkodzony (Niepoprawny lub uszkodzony pakiet (podpis PGP)).
Czy chcesz go usunąć? [T/n] 
błąd:  archlinux-keyring: podpis od "Christian Hesse <eworm@archlinux.org>" posiada nieznane zaufanie
:: Plik /var/cache/pacman/pkg/archlinux-keyring-20230130-1-any.pkg.tar.zst jest uszkodzony (Niepoprawny lub uszkodzony pakiet (podpis PGP)).
Czy chcesz go usunąć? [T/n] 
błąd:  manjaro-keyring: podpis od "Philip Müller (Called Little) <philm@manjaro.org>" posiada nieznane zaufanie
:: Plik /var/cache/pacman/pkg/manjaro-keyring-20221028-4-any.pkg.tar.xz jest uszkodzony (Niepoprawny lub uszkodzony pakiet (podpis PGP)).
Czy chcesz go usunąć? [T/n] 
błąd:  nie udało się dokonać transakcji (Niepoprawny lub uszkodzony pakiet (podpis PGP))
Wystąpiły błędy, nie zaktualizowano żadnego pakietu.

Co teraz zrobić, aby skutecznie zaktualizować bazę kluczy i finalnie dodać potrzebny klucz do qpdfview?

Tomek · 4 Luty 2023 13:38

Gdybyś ponowił jakiś czas później (testowo zaimportowałem ten klucz i wszystko poszło ok) albo spróbował przez inny serwer to obyłoby się bez problemów. A druga kwestia, klucze zaimportowane przez użytkownika nijak mają się do tych używanych przez pacman (poza narzędziem jakim jest gpg) – pacman trzyma swoje klucze w /etc/pacman.d/gnupg natomiast użytkownik w ~/.gnupg.

Pójść zgodnie z radami Wiki Manjaro i poprawioną instrukcji, które wykonałeś:

sudo rm -r /etc/pacman.d/gnupg
sudo pacman-key --init
mkdir -pv $HOME/.cache/pkg/ && sudo pacman -Syw archlinux-keyring manjaro-keyring --cachedir $HOME/.cache/pkg/
rm -f $HOME/.cache/pkg/*.sig
sudo pacman -U $HOME/.cache/pkg/*.tar.zst

I opcjonalnie wyczyścić cache pacmana zarówno systemowe jak i tymczasowe utworzone na potrzeby tej naprawy – jak już wszystko będzie w porządku.

sudo pacman -Sc
sudo rm -Rf $HOME/.cache/pkg/

Alternatywny (i niepolecany) sposób to tymczasowe obniżenie SigLevel w konfiguracji pacmana.

majo · 4 Luty 2023 15:15

Ponawiałem próbę wielokrotnie w ciągu ostatnich 3-4 dni i zawsze był ten błąd.
Innego serwera niż domyślny nie próbowałem.

Niestety, ale tu pojawia się błąd dokładnie jak poprzednio (zmieniła się tylko lokalizacja plików):

pobieranie potrzebnych kluczy…
:: Zaimportować klucz PGP 6D42BDD116E0068F, "Christian Hesse <eworm@archlinux.org>"? [T/n] 
:: Zaimportować klucz PGP CAA6A59611C7F07E, "Philip Müller <philm@manjaro.org>"? [T/n] 
(2/2) sprawdzanie spójności pakietów               [######################] 100%
błąd:  archlinux-keyring: podpis od "Christian Hesse <eworm@archlinux.org>" posiada nieznane zaufanie
:: Plik /home/ja/.cache/pkg/archlinux-keyring-20230130-1-any.pkg.tar.zst jest uszkodzony (Niepoprawny lub uszkodzony pakiet (podpis PGP)).
Czy chcesz go usunąć? [T/n] 
błąd:  manjaro-keyring: podpis od "Philip Müller (Called Little) <philm@manjaro.org>" posiada nieznane zaufanie
:: Plik /home/ja/.cache/pkg/manjaro-keyring-20221028-4-any.pkg.tar.xz jest uszkodzony (Niepoprawny lub uszkodzony pakiet (podpis PGP)).
Czy chcesz go usunąć? [T/n] 
błąd:  nie udało się dokonać transakcji (Niepoprawny lub uszkodzony pakiet (podpis PGP))
Wystąpiły błędy, nie zaktualizowano żadnego pakietu.

majo · 4 Luty 2023 15:39

Zmiana serwera kluczy na hkps://keyserver.ubuntu.com pomogła rozwiązać pierwszy problem.

gpg --recv-keys --keyserver hkps://keyserver.ubuntu.com F4928C4DD24D4DF8
gpg: klucz F4928C4DD24D4DF8: klucz publiczny ,,Adam Reichold <adam.reichold@t-online.de>'' wczytano do zbioru
gpg: Ogółem przetworzonych kluczy: 1
gpg:          dołączono do zbioru: 1

Pozostał jeszcze drugi problem, z aktualizacją bazy kluczy (o ile jest ona konieczna, gdy wszystko działa poprawnie).

Edit: 21:30

U mnie natomiast ciągle pojawia się tu błąd, co nasunęło mi pomysł, że być może domyślnie mam jakąś przestarzałą wersję serwera kluczy (inną niż u Ciebie), a to powoduje wszystkie pokazane komunikaty błędów.

Nie doszukałem się informacji, jaki powinien być domyślny serwer kluczy w Manjaro. Może ktoś wie?
Natomiast plik ~/.gnupg/gpg.conf wygląda u mnie tak:
keyserver hkp://pool.sks-keyservers.net
Znalazłem też w miarę aktualny post developera Manjaro - Yochanan z informacją, że on ma u siebie wpis:
keyserver hkps://keyserver.ubuntu.com i taki sam serwer jest używany (choć przy innej okazji) przez Wiki Manjaro.

Zatem pytanie, czy mam u siebie też zmienić na keyserver hkps://keyserver.ubuntu.com ?

Edit2:
Sprawdziłem w wirtualnym Manjaro 22 z .iso, że klucze są domyślnie pobierane z hkps://keyserver.ubuntu.com (choć ani w ~/.gnupg/gpg.conf ani w /etc/pacman.d/gnupg/gpg.conf nie znalazłem żadnego wpisu na temat adresu serwera kluczy).
Sprawdziłem także, że w ratunkowej, starej instalacji Manjaro 17, w /etc/pacman.d/gnupg/gpg.conf jest wpis: keyserver hkp://pool.sks-keyservers.net .
Zatem miałem zapewne stary wpis, z domyślnym serwerem kluczy, który od jakiegoś czasu nie działa i w czasie kolejnych aktualizacji nie został automatycznie zmieniony na serwer z Ubuntu.

Ustawienie keyserver hkps://keyserver.ubuntu.com w pliku ~/.gnupg/gpg.conf rozwiązało kwestię domyślnego serwera kluczy.
Natomiast aktualizacja kluczy w Pacman w wersji rozszerzonej (ignorując roboczo komunikaty błędów GPG w komendzie mkdir -pv $HOME/.cache/pkg/ && sudo pacman -Syw archlinux-keyring manjaro-keyring --cachedir $HOME/.cache/pkg/ ) skutecznie załatwiła kwestię aktualizacji bazy kluczy.