fragen stichworte

GPG hat treffend das Repository signiert, das nicht wie erwartet funktioniert

Wir hosten einige unserer eigenen Softwarepakete als Debs in einem eigenen Repository. Für Prototyping-Zwecke haben wir "nicht authentifiziert" ausgeführt. Jetzt versuchen wir, die Dinge korrekter zu machen und die ganze GPG-Sache zu machen. Was ich versucht habe, ist nur für den Testlauf Folgendes:

1) Machen Sie einen Schlüssel mit gpg-gen

~$ gpg --list-keys
/home/me/.gnupg/pubring.gpg
--------------------------------
pub   4096R/BBBBB39F 2017-03-09
uid                  Someone Somebody <someone@somewhere.com>
sub   4096R/129E9336 2017-03-09

(was ist übrigens die SUB-Sache da?)

2) aptly publish ... Dies fordert mich zur Eingabe der Passphrase für den besagten Schlüssel auf, daher muss an diesem Punkt etwas mit dem Schlüssel gemacht werden.

3) Exportieren Sie den Schlüssel mit gpg —export —armor > somefile.pubkey

4) Kopieren Sie etwas file.pubkey auf eine Testmaschine

5) Führen Sie sudo apt-key add somefile.pubkey

aus
sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2017-03-09 [SC]
     E51B E216 4658 FB8B 6E42  8A09 F9BC EF4C BBBB B39F
uid           [ unknown] Someone Somebody <someone@somewhere.com>
sub   rsa4096 2017-03-09 [E]
…
…
…

Es scheint also da reingekommen zu sein. Das Sub-Ding zeigt sich jetzt anders?

6) Und zum Schluss sudo apt-get update:

~$ sudo apt-get update
Hit:1 http://ftp.us.debian.org/debian stretch InRelease
Hit:2 http://ftp.us.debian.org/debian stretch-updates InRelease     
Hit:3 http://security.debian.org stretch/updates InRelease          
Get:4 http://our.aptly.repo stretch InRelease [2317 B]
Ign:4 http://our.aptly.repo stretch InRelease            
Fetched 2317 B in 9s (256 B/s)                                                 
Reading package lists... Done
W: GPG error: http://our.aptly.repo stretch InRelease: The following signatures were invalid: E51BE2164658FB8B6E428A09F9BCEF4CBBBBB39F
W: The repository 'http://our.aptly.repo stretch InRelease' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

Ich verstehe nicht, was hier passiert. Die Straftat scheint zu sein, dass etwas nicht unterschrieben ist. Welchen Schritt habe ich verpasst?

antworten

Eine aktuelle Debian-Stretch-Installation akzeptiert keine SHA1-Signaturen mehr. Allerdings verwendete Aptly SHA1 bis v0.9.7 (relevanter PR, beachten Sie, dass es auch nach v0.9.6.1 zurückportiert wurde). Ich vermute, dass die Version von Aptly, die du verwendest, älter ist. In diesem Fall sollten Sie ihr Repo zu Ihrer sources.list hinzufügen.