Björn Keil:
>
> Rabenhorst:~# gpg --keyring=/etc/apt/trusted.gpg
> --trustdb=/etc/apt/trustdb.gpg --no-default-keyring --verify
> ~bjoern/Desktop/Release.gpg ~bjoern/Desktop/Release
> gpg: Signature made Do 26 Apr 2007 10:14:14 CEST using DSA key ID 6070D3A1
> gpg: Good signature from "Debian Archive Automatic Signing Key
> (4.0/etch) <ftpmaster@debian.org>"
> gpg: WARNING: This key is not certified with a trusted signature!
> gpg: There is no indication that the signature belongs to the
> owner.
> Primary key fingerprint: A999 51DA F9BB 569B DB50 AD90 A70D AF53 6070 D3A1
Ohne, dass Dir das jetzt hilft: das ist das normale und wünschenswerte
Verhalten von gpg. Es findet heraus, dass die Signatur ok ist (nicht
manipuliert wurde, wirklich mit dem angegebenen Schlüssel ausgeführt
wurde), aber nicht von einem bekannten, vertrauenswürdigen Schlüssel
signiert wurde.
Das Verhalten von apt weicht davon ab und traut einfach jedem Schlüssel,
der in der /etc/apt/trustdb.gpg steckt. Das halte ich auch für eine gute
Sache, denn diese trustdb hat genau diesen einen Zweck und würde man das
anders machen, würden wahrscheinlich sehr viele Leute einfach ohne
Prüfung den Key signieren "damit die Warnung weggeht" und damit des Web
of Trust kaputtmachen -- zumindest, wenn sie dann den signierten Key
wieder irgendwo hochladen.
J.
--
I wish I looked more like a successful person even though I'm a loser.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature