En mi repositorio Debian, que documentón en mi artículo Tu propio repositorio de Debian, comencé a tener problemas con el sistema de firmas electrónicas de validación para la puesta al día del repositorio. En los comentarios de ese artículo se plantearon algunas soluciones.
No obstante, es hora de sistematizar los conceptos al respecto de las firmas que validan los archivos y los repositorios de Debian. Así es que a partir de un hilo de discusión en la lista debian-user-spanish he conseguido bastante de la información al respecto y entonces escribo este nuevo artículo.
Instalando todas las firmas
El comando encargado de administrar las claves para el ‘apt’ es el ‘apt-key‘ y
apt-key list
lista las llaves que están validadas en su sistema y que apt utiliza a la hora de actualizar listados de paquetes y archivos.
apt-get install debian-keyring
descarga e instala el paquete que contiene las firmas de los desarrolladores de Debian, que es utilizada para verificar cada paquete.
apt-get install debian-archive-keyring
descarga e instala las firmas de los repositorios de Debian, con el cual apt verifica que los listados de paquetes recibidos son válidos.
Al final se debe ejecutar:
apt-key add /usr/share/keyrings/debian-role-keys.gpg
que instala las firmas para que el apt las pueda utilizar.
Instalando una firma en particular
Si tienes una única firma inválida,
Leyendo lista de paquetes... Hecho
GPG error: http://127.0.0.1 etch Release: Las siguientes firms fueron inválidas: BADSIG 010908312D230C5F Debian Archive Automatic Signing Key (2006)
no es necesario descargar e instala todo lo anterior.
Primero bajar la firma al llavero personal
gpg --recv-keys --keyserver hkp://pgp.mit.edu 010908312D230C5F
luego exportar la firma e incluirla en el llavero de apt.
gpg --armor --export 010908312D230C5F | apt-key add -
El archivo que contiene el llavero de apt es el /etc/apt/trusted.gpg
En el artículo Using the GPG signature checking with apt 0.6, publicado en Debian Administration también hay muy buena información al respecto de cómo manejarse con las firmas GPG.
Hice todo lo que me indicó… y todo estuvo bien hasta que.
gpg –recv-keys –keyserver hkp://pgp.mit.edu EA8E8B2116BA136C
gpg: solicitando clave 16BA136C de hkp servidor pgp.mit.edu
gpgkeys: key EA8E8B2116BA136C not found on keyserver
gpg: no se han encontrados datos OpenPGP válidos
gpg: Cantidad total procesada: 0
al parecer esta llave no se encuentra, que puedo hacer…