AURにはインストールしようとすると、次のエラーが発生するパッケージがたくさんあります。==> ERROR: One or more PGP signatures could not be verified!
この問題は、次の方法を使用してキーをインポートすることで解決できますgpg --recv-keys 123456789ABCDEF。 AUR議論はしばしば鍵を提供します。
これについていくつかの質問があります。
このキーの役割は正確に何ですか? GPGは何を検証しますか?なぜ必要ですか?
キーを手動でインポートする必要があるのはなぜですか?なぜ自動化できないのですか?
AURコメントスレッドからランダムなキーを取得するのが悪い場合は、キーを「確認」するためにどのような手順を実行する必要がありますか?
誰もコメントにキーを投稿したくなく、コメントを投稿する時間がなく、管理者が返信したい場合は、どこでキーを見つける必要がありますか?
インターネットで検索して参考資料を見つけましたよく知られたブログ投稿。残念ながら、何度も注意深く読んだ後も、上記の内容をまだ理解していません。
ベストアンサー1
このキーの役割は正確に何ですか? GPGは何を検証しますか?なぜ必要ですか?
これらのキーは、ダウンロードしているソフトウェアがパッケージ作成者が意図したものであり、攻撃者が正常に侵入した可能性があるストレージサーバーのトロイの木馬マルウェアではないことを確認するために使用されます。あるいは、攻撃者が実際のAURリポジトリの代わりに偽装したマルウェアリポジトリにダウンロード要求をリダイレクトする可能性があります。 GPG 検証により、攻撃者はソフトウェア ストアをマルウェア配布チャネルとして正常に使用することが困難になります。
キーを手動でインポートする必要があるのはなぜですか?なぜ自動化できないのですか?
特定のソフトウェア作成者/パッケージを信頼するかどうか、および受信したキーが詐欺師ではなく本物のキーであることを確認するのに十分な信頼性があるかどうかを意識的に選択する必要があります。
必要なレベルの信頼と信頼は、あなたがしていることによって異なります。エンターテイメントに使用される個人用ホームシステム、他の人の健康および/またはビジネスクレジットカード情報を処理するために使用されるサーバー、国のミサイル防衛システムに使用される補助支援サーバーは次のとおりです。毎回使用されます。それぞれの要件が異なります。
AURコメントスレッドからランダムなキーを取得するのが悪い場合は、キーを「確認」するためにどのような手順を実行する必要がありますか?
あなたがすでに鍵を持っている他の人が鍵に署名し、少なくともGPG鍵に署名したときにその人の判断を信頼している場合は、鍵が本当である可能性があるという証拠として受け入れることができます。それ以外の場合は、さまざまなソースからキーを取得して結果を比較できます。それがあなたにとって十分に重要な場合は、開発者に電話するか、会って正しいキーを持っているかどうかをより確実に確認することもできます。
誰もコメントにキーを投稿したくなく、コメントを投稿する時間がなく、管理者が返信したい場合は、どこでキーを見つける必要がありますか?
広く使用されているGPG公開鍵は通常、SKS鍵サーバに公開される。正しいキーがない場合、パッケージツールは必要なキーのkeyIDを表示できる必要があり、それを使用してキーを取得できます。キーサーバーから。
SKS キーサーバーネットワークの詳細については、こちらをご覧ください。https://sks-keyservers.net/
Google経由でkeyIDを検索することもできます。