Björn Keil: > > Rabenhorst:~# gpg --keyring=/etc/apt/trusted.gpg > --trustdb=/etc/apt/trustdb.gpg --no-default-keyring --verify > ~bjoern/Desktop/Release.gpg ~bjoern/Desktop/Release > gpg: Signature made Do 26 Apr 2007 10:14:14 CEST using DSA key ID 6070D3A1 > gpg: Good signature from "Debian Archive Automatic Signing Key > (4.0/etch) <ftpmaster@debian.org>" > gpg: WARNING: This key is not certified with a trusted signature! > gpg: There is no indication that the signature belongs to the > owner. > Primary key fingerprint: A999 51DA F9BB 569B DB50 AD90 A70D AF53 6070 D3A1 Ohne, dass Dir das jetzt hilft: das ist das normale und wünschenswerte Verhalten von gpg. Es findet heraus, dass die Signatur ok ist (nicht manipuliert wurde, wirklich mit dem angegebenen Schlüssel ausgeführt wurde), aber nicht von einem bekannten, vertrauenswürdigen Schlüssel signiert wurde. Das Verhalten von apt weicht davon ab und traut einfach jedem Schlüssel, der in der /etc/apt/trustdb.gpg steckt. Das halte ich auch für eine gute Sache, denn diese trustdb hat genau diesen einen Zweck und würde man das anders machen, würden wahrscheinlich sehr viele Leute einfach ohne Prüfung den Key signieren "damit die Warnung weggeht" und damit des Web of Trust kaputtmachen -- zumindest, wenn sie dann den signierten Key wieder irgendwo hochladen. J. -- I wish I looked more like a successful person even though I'm a loser. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature