ПОМИЛКА: Не вдалося перевірити один або більше підписів PGP, арк Linux

Нещодавно я перейшов на дисковий дистрибутив на дзвінку Manjaro .

У мене проблеми з установкою деяких пакетів із сховища аркової арки

    curl-7.54.0.tar.gz ... Passed
    curl-7.54.0.tar.gz.asc ... Skipped
==> Verifying source file signatures with gpg...
    curl-7.54.0.tar.gz ... FAILED (unknown public key 5CC908FDB71E12C2)
==> ERROR: One or more PGP signatures could not be verified!

Що мені потрібно зробити, щоб це виправити?

— нелааро
джерело

Коли у вас є локальна пара ключів gpg, ви можете імпортувати невідомий ключ до набору ключів місцевих користувачів. У моєму випадку ключ 5CC908FDB71E12C2потрібно імпортувати наступним чином.

$ gpg --recv-keys 5CC908FDB71E12C2
gpg: keybox '/home/user/.gnupg/pubring.kbx' created
gpg: key 5CC908FDB71E12C2: 8 signatures not checked due to missing keys
gpg: /home/aaron/.gnupg/trustdb.gpg: trustdb created
gpg: key 5CC908FDB71E12C2: public key "Daniel Stenberg <daniel@haxx.se>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

--recv-ключі ідентифікаторів клавіш: Імпортуйте ключі із заданими ідентифікаторами ключів із сервера клавіш.

Якщо вищезгадане не вдається, вам може знадобитися створити локальний gpg-сховище ключів / базу даних.

Наведені нижче кроки можуть більше не потрібні, оскільки вищевказаний крок тепер створює локальну базу даних ключових даних для вас. Це залежить від вашого дистрибутива та gpgверсії та конфігурації.

Якщо у вас ще немає gpgбази даних ключів для вашого місцевого користувача.

gpg --generate-key

або

gpg --full-gen-key

Що кажуть документи

   --generate-key
   --gen-key
          Generate  a  new key pair using the current default parameters.  This is the standard command to create a new key.  In addition to the key a revocation certificate is created and stored in the
          ‘openpgp-revocs.d’ directory below the GnuPG home directory.

   --full-generate-key
   --full-gen-key
          Generate a new key pair with dialogs for all options.  This is an extended version of --generate-key.

          There is also a feature which allows you to create keys in batch mode. See the manual section ``Unattended key generation'' on how to use this.

— нелааро
джерело

Це безпечно? Мовляв, не додаючи випадкові ключі, коли потрібно, перемогти мету ...?

— jcora

@jcora. Ці клавіші дозволяють встановити потрібне програмне забезпечення. Вам потрібно вирішити, чи безпечно це. Це сторонні ключі, які підтверджують, що програмне забезпечення, створене ними в AUR, насправді від них. Чи є можливість пакету в AUR або десь зі шкідливим кодом так. Що вимагає від вас довіритися тому, хто створює пакет. Крім того, ключі підтверджують, що ніхто інший не змінив отриманий вами пакет. Ви повинні прийняти рішення та оцінити ризик.

— nelaaro

добре, я був розгублений, тому що зазвичай ключі пакетів AUR вже автоматично включаються в мою систему. Я щось нерозумію?

— jcora

Я використовую дистрибутив Manjor, який, мабуть, застарів, і викликав у мене проблеми.

— nelaaro

@EnricoMariaDeAngelis локальні клавіші gpg не ініціалізуються, у вас немає брелока, який є лише файлом, який зберігає список ключів, які ви імпортували / приймали. --full-gen-keyгарантує, що всі файли створені для того, щоб ви могли імпортувати ключі до локального брелока.

— nelaaro