Gpg - weryfikacja za pomocą pliku *.sig

Próbuję zweryfikować plik z repo manjaro testing poprzez dostępny tam plik .sig i pojawia się komunikat błędu. Co powinienem tu jeszcze zrobić?

$ gpg --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg:                przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Nie można sprawdzić podpisu: Brak klucza publicznego

@robson75
Co miałeś na myśli podając ten link?

Wykonałem kroki opisane na stronie https://wiki.manjaro.org/index.php/Pacman_troubleshooting, tj:
sudo pacman -Syy
sudo pacman-key --refresh-keys (tu nie pojawił się brakujący klucz)

sudo pacman-key --populate archlinux manjaro
Tu pojawił się brakujący klucz w sekcji jak poniżej:

==> Dodawanie kluczy z manjaro.gpg...
==> Lokalne podpisywanie zaufanych kluczy w bazie...
  -> Lokalne podpisywanie klucza 39F0EC1AE50B37E5F3196F09DAD3B211663CA268...

Wykonałem także poniższą funkcję z listy, choć wydaje mi się niepotrzebna (i usunęła mi nie tylko nieużywane pakiety z cache, ale także starsze wersje aktualnie używanych pakietów - czego nie chciałem )
sudo pacman -Sc

Niestety, po tych operacjach pojawia się ciągle błąd jak w pierwszym poście.

Czy to błąd systemu, czy może ja coś źle robię?

Musisz zaimportować klucze do gpg. Klucze z Manjaro importujesz tak jak tutaj. Jeśli pakiet pochodzi z Archa to powinieneś także zaimportować tamtejsze klucze. To, co zrobiłeś miałoby zastosowanie przy weryfikacji pakietu za pomocą pacman-key.

Pakiet pochodzi z Manjaro testing (w stable jest ciągle jego starsza wersja).
Po wykoniu komend z linka od @Tomek jest trochę lepiej, ale ciągle brak właściwego poświadczenia. Komunikat jak poniżej:

$ gpg --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg:                przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Poprawny podpis złożony przez ,,Bernhard Landauer <oberon@manjaro.org>'' [nieznany]
gpg: OSTRZEŻENIE: Ten klucz nie jest poświadczony zaufanym podpisem!
gpg:              Nie ma pewności co do tożsamości osoby która złożyła podpis.
Odcisk klucza głównego: 39F0 EC1A E50B 37E5 F319  6F09 DAD3 B211 663C A268
pacman-key --verify

OK. Teraz wygląda dobrze :slight_smile:

$ pacman-key --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
==> Checking palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig... (detached)
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg:                przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Uwaga: nie można zapisywać bazy zaufania
gpg: Poprawny podpis złożony przez ,,Bernhard Landauer <bernhard@manjaro.org>'' [pełne]
gpg:                         alias ,,Bernhard Landauer <oberon@manjaro.org>'' [pełne]

Ten komunikat jest standardowy dopóki jeszcze dodatkowo nie potwierdzisz tożsamości tej osoby. Kwestia bezpieczeństwa. Dodatkowe szczegóły:

Może nie rozumiem…
Jak w tym konkretnym przypadku potwierdzić tożsamość tej osoby? (Bernhard Landauer to no 2 w Manjaro: https://manjaro.org/team)

W idealnej sytuacji udajesz się do niego (najlepiej osobiście, w realnym świecie, z mailami mogą się zdarzyć różne rzeczy), maile można, pytasz się, czy to jego klucz i jeśli potwierdzi, to edytujesz klucz, zwiększając jego zaufanie jak w linku. W praktyce wystarczy tylko edycja klucza. Tu chodzi o dodatkowe zabezpieczenie przed hipotetyczną sytuacją, gdy ktoś podrobi klucz lub podszywa się pod tą osobę i rozpowszechnia szkodliwe oprogramowanie czy inne rzeczy.

EDIT: Zwłaszcza że tu jeszcze dochodzi kwestia tego, że ten klucz pobrałeś z internetu. Mogła to być jakaś przypadkowa strona. My wiemy, że to są strony Manjaro przez nich utrzymywane i możemy im zaufać, jednak gdybyś chciał większej pewności, to spacerek do właściciela klucza byłby nieunikniony.

Oczywiście, dla porządku, należy dodać, że mieszanie pakietów z różnych gałęzi (w tym przypadku zapewne stable i testing) jest wyprzedzaniem na trzeciego.

forum.manjaro.pl - polskie wsparcie Manjaro. Hostowane przez: vpsadmin - hosting Discourse