[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

APT und die Signatur der "Release" Datei

Hallo,
ich habe immer wieder Probleme mit dem Update von Etch (apt 0.6.46.4-0.1 für linux i386 kompiliert am Feb 26 2007 16:19:57). Unabhängig davon welche Quelle ich benutze, behauptet aptitude, apt-get oder Synaptic mit freudiger regelmäßigkeit, die Signatur der Release Datei wäre nicht in Ordnung. Der Witz ist aber, dass das sowohl zuerst bei ftp.freenet.de als auch später bei ftp2.de.debian.org passiert, dann aber auch nicht immer.
Ich könnte mir vorstellen, dass sowas ab und zu passieren kann, wenn man zufällig genau in dem Moment was runterlädt, in dem ein Update stattfindet, und man erwischt eine Release und eine Release.gpg Datei die nicht zusammen passen. Aber ständig? Das Paket debian-archive-keyring ist bei mir in der Version "2007.02.19".
bjoern@bjoern:~$ sudo gpg --keyring /etc/apt/trusted.gpg --trustdb /etc/apt/trustdb.gpg --no-default-keyring --list-keys gpg: WARNING: unsafe ownership on configuration file `/home/bjoern/.gnupg/gpg.conf' 
/etc/apt/trusted.gpg
--------------------
pub   1024D/2D230C5F 2006-01-03 [expired: 2007-02-07]
uid Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org> 

pub   1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
uid Debian Archive Automatic Signing Key (4.0/etch) <ftpmaster@debian.org> 

pub   1024D/ADB11277 2006-09-17
uid Etch Stable Release Key <debian-release@lists.debian.org>
Wenn jemand eine man in the middle attack machen würde hätte er mir längst eine gefälschte /etc/apt/trusted.gpg und /etc/apt/trustdb.gpg unterjubeln können, außerdem wäre es sehr unwahrscheinlich, dass das sowohl privat als auch auf der Kiste am Arbeitsplatz vorkommt. Mal ganz abgesehen davon, dass meine Daten auch nicht so wahnsinnig interessant sind.
Also allmählich bin ich ein wenig ratlos. Das Problem ist auch, dass es nur /manchmal/ schief läuft, manchmal eben auch nicht. Die plausibelste Erklärung, die mir einfällt, ist, dass mehrere unterschiedliche Schlüssel zum signieren von Release Dateien verwendet werden können und nicht alle installiert sind. 

Kann mir jemand einen Tip geben?

Grüße
Björn
Reply to: