Diskussion:APT/Fehlerbehebung/Legacy keyring
Hintergrund
Diese Fehlermeldung erscheint seit Debian 11, wenn man versucht, einen neuen GnuPG-Schlüssel hinzuzufügen
Bislang wurde für Drittanbieter-Paketquellen von APT-Paketen der öffentliche Schlüssel heruntergeladen und an apt-key add übergeben
# wget -q -O - https://download.bell-sw.com/pki/GnuPG-KEY-bellsoft | apt-key add - Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)) OK
Per APT verteilte Softwarepakete werden signiert
- Damit soll sichergestellt werden, dass ihr wirklich die originalen Pakete von der jeweiligen Organisation wie Debian erhaltet
- Wie das im Detail funktioniert, hängt mit asymmetrischer Kryptografie und der Funktionsweise von PGP zusammen
- Das würde hier den Rahmen sprengen
- Wir belassen es daher an der Stelle dabei, dass sich mit der Signatur die Integrität der Pakete sicherstellen lässt – was grundsätzlich eine sinnvolle Sache ist und die Sicherheit erhöht
Mit apt-key add wird der öffentlichen Schlüssel des Repositorys gespeichert und ihm vertraut
- Ansonsten hätte das System kein Vertrauensverhältnis – die Installation von Paketen aus nicht vertrauenswürdigen Quellen würde abgewiesen
- Kann man selbst testen, indem man eine Drittanbieter-Paketquelle hinzufügt, ohne vorher deren öffentlichen Schlüssel zu importieren
apt-key ist veraltet
- Fügt ihr einen neuen Schlüssel mit apt-key hinzu, wird dieser in einen Ordner von vertrauenswürdigen Schlüsseln (konkret /etc/apt/trusted.gpg.d) abgelegt
- Wenn man ein Paket installiert, prüft apt, ob es von irgendjemandem signiert wurde, dessen Schlüsseln wir vertrauen
- Es wird nicht vorher abgefragt, ob der Schlüssel zu der Paketquelle passt
Das ist zwar immer noch sicherer als gar keine Signaturen zu verwenden, aber es schwächt die Sicherheit
- Besser wäre es, wenn ein Schlüssel nur für das dazugehörige Repository akzeptiert wird
- Also eine 1:1 Beziehung, statt eines generellen, bedingungslosen Vertrauensverhältnisses
- Aus diesem Grunde wurde apt-key als veraltet markiert, damit man auf dieses neue Verfahren wechselt
Seit Debian 11 bzw. Ubuntu 22.04 ist apt-key nur als veraltet markiert und daher weiterhin verfügbar
- Allerdings ist das die letzte Hauptversion!
- Mit der nächsten Version von Debian bzw. Ubuntu wird es aller Voraussicht nach entfernt
- Ich werde es daher in den Beiträgen nicht mehr einsetzen und ihr solltet es möglichst auch nicht mehr tun