Markus Schulz schrieb: > Hallo, > > bis vor wenigen Minuten, war auf ftp2.de.debian.org und > ftp.de.debian.org eine Release Datei mit falscher Signatur vorhanden. > > Deshalb spuckte aptitude update immer aus: > W: GPG error: http://ferrari etch Release: Die folgenden Signaturen > waren ungültig: BADSIG A70DAF536070D3A1 Debian Archive Automatic > Signing Key (4.0/etch) <ftpmaster@debian.org> > > > Ich habe dann das Release File von Hand mit Release.gpg geprüft und bin > natürlich zu dem gleichen Ergebnis gekommen. Die Etch Release Datei > vom: > > Date: Sun, 01 Apr 2007 20:08:24 UTC > > war nicht korrekt signiert oder das Signatur File nicht passend. > > Woran liegt das? > Ein Diff zwischen der falschen und korrekten Release Datei ergab nur > einen Unterschied bzgl. des Datums. > Liegt das einfach nur daran das die Release.gpg Datei früher vom Mirror > gezogen wurde als die Release? Sollte man das nicht verhindern, damit > sich bei Nutzern nicht einschleift auch fehlerhaft signierte Pakete zu > installieren? > > Genau dieselbe Frage habe ich auch neulich hier gestellt. Heikles Thema insofern als das man gerne mal gezielt missverstanden und zur Schnecke gemacht wird. Kurz gesagt: Bei einem Update holt sich ftp2.de.debian.org anscheinend von seinem Master Server als erstes die neue "Release.gpg", dann den ganzen Rest der geändert wurde, inklusive der Package Files, und dann erst die neue Release Datei. Das Update läuft jeweils gegen 10 Uhr morgens und abends und dauert etwa eine Stunde. In der Zeit passen die Release und Release.gpg Datei nicht zusammen. http://groups.google.de/group/linux.debian.user.german/browse_thread/thread/86c79cecaf6064b2/b6ad83c13bf44fe3 Grüße Björn
Attachment:
signature.asc
Description: OpenPGP digital signature