Patrick Kowalzick:
>
> Reading package lists... Done
> W: GPG error: http://www.backports.org etch-backports Release: The
> following signatures couldn't be verified because the public key is not
> available: NO_PUBKEY EA8E8B2116BA136C
> W: You may want to run apt-get update to correct these problems
>
> Gehört das so?
Ja, das gehört so. Zumindest, wenn man nicht-offizielle Archive benutzt.
Das bedeutet nämlich, dass apt(itude) nicht sicherstellen kann, dass die
Pakete nicht manipuliert wurden.
Um die Meldung loszuwerden (und Sicherheit über die Integrität des
Mirrors zu bekommen) muss man den öffentlichen Schlüssel des Archivs apt
bekannt machen. Das geht z.B. so:
$ gpg --keyserver hkp://subkeys.pgp.net --recv-keys EA8E8B2116BA136C
$ gpg --export --armour | sudo apt-key add -
Dadurch drückst Du apt gegenüber Dein Vertrauen darin aus, dass der
Inhaber des Schlüssels keine bösartige Software vertreibt. Pakete
(genauer: Release-Dateien), die mit diesem Schlüssel signiert sind,
installiert apt zukünftig ohne Nachfrage. Ohne den Schlüssel würde apt
Dich warnen, dass es nicht weiß, ob Du der Paketquelle vertrauen willst.
J.
--
I hate myself but have no clear idea why.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature