El Legado de Khertz

Fri 6 Jan 2006

Desde hace ya tiempo el comando apt de Debian incluye un sistema de verificación de paquetes usando una firma digital (algo así como una marca de autenticidad) para asegurarnos que el paquete está hecho realmente por quien dice ser y que no haya sido modificado antes de llegar a nosotros. Para ello hace uso de una clave de cifrado que se renueva anualmente. Por lo general, con descargarte el paquete debian-keyring:

# apt-get install debian-keyring

y añadir las claves que contiene al anillo de claves de confianza de apt:

# apt-key add /usr/share/keyrings/debian-role-keys.gpg

debería bastar para ya autentificar correctamente los paquetes.

Sin embargo, desde hace unos días al hacer un apt-get update recibo el siguiente warning:

W: GPG error: http://ftp.debian.org unstable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: GPG error: http://ftp.debian.org testing Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: Tal vez quiera ejecutar 'apt-get update' para corregir estos problemas

y aún insertando en el anillo de claves de apt las claves que vienen en el paquete debian-keyring no se soluciona, por lo que parece este paquete aún no contiene la nueva clave con la que ya se han empezado a firmar los nuevos paquetes.

Así que buscando en google (como no :)) encontré que te puedes descargar en formato ASCII la clave para el año actual de:

http://ftp-master.debian.org/ziyi_key_año.asc

en el caso del año actual sería

http://ftp-master.debian.org/ziyi_key_2006.asc

por lo tanto para añadir la nueva clave a nuestro anillo apt sería:

wget http://ftp-master.debian.org/ziyi_key_2006.asc -O - | apt-key add -

y con este simple comando ya tendrías en el anillo de apt la clave de este año (podía haber dicho esto desde el principio ¿no? :P, pero siempre es bueno saber el porqué de las cosas)

 

8 respuestas a “Caducidad de las claves GPG del repositorio de Debian”

1. El Legado de Khertz » Paquete debian para la actualización de claves de APT dijo:
   2006-01-21 a las 10.27 am

   […] Hace un par de semanas escribía una entrada sobre la caducidad de las claves APT, proponiendo una forma de subsanarlo. Acabo de ver que hay un paquete (fechado a 4 días después de yo haber publicado el artículo) en la rama inestable de debian: debian-archive-keyring que contiene las nuevas claves que yo había explicado como importar y una más para el repositorio de AMD64. Con solo instalar este paquete: apt-get install debian-archive-keyring […]

2. Heimy dijo:
   2006-01-26 a las 12.52 pm

   Anda, otro debianero :). Saludos desde La Palma (isla de adopción).

3. TUREGANO.NET » Blog Archive » Apt + Gpg dijo:
   2006-02-21 a las 9.13 am

   […] En castellano: http://www.khertz.net/archives/27 En inglés: http://www.debian-administration.org/articles/174 […]

4. Osiris dijo:
   2006-11-28 a las 9.48 am

   Socorro soy nuevo y estoy pez:
   Quiero activar universe y multiverse pero cuando hago sudo aptitude update me sale:

   W: GPG error: http://www.getautomatix.com dapper Release: Las firmas siguientes no se pudieron verificar po rque su llave pública no está disponible: NO_PUBKEY 18B52FE3521A9C7C
   W: GPG error: http://packages.freecontrib.org breezy Release: Las firmas siguientes no se pudieron verifica r porque su llave pública no está disponible: NO_PUBKEY F120156012B83718
   W: Tal vez quiera ejecutar ‘apt-get update’ para corregir estos problemas

   Como soy muy formal, hato apt-get update, pero me sale:

   E: No se pudo abrir el fichero de bloqueo ‘/var/lib/apt/lists/lock’ - open (13 Permiso denegado)
   E: No se pudo bloquear el directorio de listas

   Es decir que no me entero de nada…
   ¿Podeis ayudarme?

5. Khertz dijo:
   2006-11-28 a las 6.49 pm

   Hola, de entrada lo que se explica en este post es a poner las claves GPG del repositorio de Debian, y por lo que parece tu usas ubuntu (o algún derivado) así que tendrás que buscar las claves con las que fueron firmados los paquetes de esa distribución.

   De todas formas, los repositorios que se están quejando no son los oficiales, así que tendrás que instalar las claves GPG de los mantenedores de esos repositorios (si te fías de su origen, claro).

   Visité las páginas de los repositorios que tienes, y al menos en el primero viene una ayuda de como introducir las claves en tu anillo; en la otra no aparece nada.

   En cualquier caso eso solo son advertencias de que no tiene forma de verificar la firma digital de los paquetes, no es un error, puedes ignorar la advertencia e instalar normalmente.

   El error que te da el el apt-get es sencillamente que lo tienes que ejecutar con privilegios de administrador, de la misma forma que haces con el aptitude: sudo apt-get update. Pero realmente va a hacer exactamente lo mismo que el aptitude, en los dos comandos la opción update hacen lo mismo.

   Un saludo,

6. Maritxa dijo:
   2006-12-12 a las 11.46 pm

   A mi me da un error parecido al actualizar el apt-get:
   E: No se pudo abrir el fichero de bloqueo ‘/var/lib/apt/lists/lock’ - open (11 Permiso denegado)
   E: No se pudo bloquear el directorio de listas

   Lo único que cambia es en el número del permiso,¿es lo mismo?

   Intento actualizar con aptitude y me da un warning: This version of bind9-host is from an untrusted source!

   ¿qué debo hacer?

7. Khertz dijo:
   2006-12-14 a las 12.54 am

   Hola, en principio el error parece ser el mismo (aunque el código de error sea distinto), las razones por las que te puedan pasar eso son varias: primero, que intentes hacerlo sin ser root y no tengas permisos para hacer el update; segundo, que haya otro programa bloqueando el fichero (aptitude, apt-get, synaptic, …); y tercero, si no pasa nada de lo anterior es posible que se interrumpiese de forma inesperada la última vez y se haya quedado el bloqueo, en este caso (y sólo en este caso) deberías borrar el fichero de bloqueo: ‘/var/lib/apt/lists/lock’.

   El warning que te da al instalar el bind9-host es sobre lo que se ha estado hablando aquí desde el principio, no tienes la clave con la que fue firmado el paquete (la clave del repositorio). Si el repositorio es el oficial de debian, lo solucionas tal y como explico en el articulo, si es otro, busca si dicho repositorio explica como poner su clave.

   En cualquier caso, si te fias de la fuente, puedes añadir su clave a tu anillo (no añadas claves de fuentes en las que no confíes) o sencillamente ignora la advertencia, que al fin y al cabo será lo mismo, confiar en el repositorio. La ventaja que tiene la firma es que si en algún momento el repositorio es hackeado y ponen paquetes maliciosos el apt sea capaz de detectar que no son paquetes “originales”.

   Un saludo,

8. Maritxa dijo:
   2006-12-19 a las 5.43 pm

   Gracias por todo. He empezado de nuevo y me ha funcionado correctamente.
   El problema que tengo ahora es que no sé como cambiar la contraseña del usuario root de mysql-5. He utilizado el comando:

   mysqladmin -u root password ‘clave’;

   y me da error. Hago algo mal?

Dejar una respuesta