Etch Release Datei und fehlerhafte Signatur
Hallo,
bis vor wenigen Minuten, war auf ftp2.de.debian.org und
ftp.de.debian.org eine Release Datei mit falscher Signatur vorhanden.
Deshalb spuckte aptitude update immer aus:
W: GPG error: http://ferrari etch Release: Die folgenden Signaturen
waren ungültig: BADSIG A70DAF536070D3A1 Debian Archive Automatic
Signing Key (4.0/etch) <ftpmaster@debian.org>
Ich habe dann das Release File von Hand mit Release.gpg geprüft und bin
natürlich zu dem gleichen Ergebnis gekommen. Die Etch Release Datei
vom:
Date: Sun, 01 Apr 2007 20:08:24 UTC
war nicht korrekt signiert oder das Signatur File nicht passend.
Woran liegt das?
Ein Diff zwischen der falschen und korrekten Release Datei ergab nur
einen Unterschied bzgl. des Datums.
Liegt das einfach nur daran das die Release.gpg Datei früher vom Mirror
gezogen wurde als die Release? Sollte man das nicht verhindern, damit
sich bei Nutzern nicht einschleift auch fehlerhaft signierte Pakete zu
installieren?
--
Markus Schulz
Reply to: