APT/Fehlerbehebung/Legacy keyring: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(75 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Legacy keyring''' - Schlüssel in veralteten Schlüsselbund gespeichert
== Fehlermeldung ==
== Fehlermeldung ==
  ''Key is stored in legacy trusted.gpg keyring''
  Key is stored in legacy trusted.gpg keyring
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
 
; Beispiel
<syntaxhighlight lang="bash" highlight="1">
sudo apt update
Warning: https://packages.cisofy.com/community/lynis/deb/dists/stable/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
</syntaxhighlight>
 
; Ursache
Die Datei ''trusted.gpg'' (Schlüsselbund) ist veraltetet


Schlüssel ist im veralteten Schlüsselbund trusted.gpg gespeichert
== Lösungen ==
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
{| class="wikitable options col1center"
! Möglichkeit !! Beschreibung
|-
| 1 || [[#Schlüssel exportieren|Schlüssel exportieren]]
|-
| 2 || [[#Schlüssel neu einrichten|Schlüssel neu einrichten]]
|-
| 3 || [[#trusted.gpg kopieren|trusted.gpg kopieren]]
|}
 
=== Schlüssel exportieren ===
Schlüssel in eigene Datei exportieren
 
; Ermittlung der Schlüssel-ID
Suche des Schlüssels anhand seines Namens
<syntaxhighlight lang="bash" highlight="1,8" line>
apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
 
[[...]]
pub  rsa4096 2021-06-22 [SC] [verfällt: 2031-06-20]
      84FA A998 3B24 AEF2 4D6C  87F1 FEBB 7D18 1257 6482
uid        [ unbekannt ] CISOfy software signing <software@cisofy.com>
sub  rsa4096 2021-06-22 [E] [verfällt: 2031-06-20]
sub  rsa4096 2021-06-22 [S] [verfällt: 2031-06-20]
[[...]]
</syntaxhighlight>
 
; Schlüssel-ID
Die letzten 8 Zeichen der Schlüssel-Nummer (Zeile 8) ohne Leerzeichen
* Hier '''1257 6482'''
* '''12576482'''
 
; Schlüssel exportieren
* Umwandeln in eine .gpg-Datei
* Dateinamen angeben, der zu dem Paket passt, für das der Schlüssel bestimmt ist


== Hintergrund ==
; Beispiel
Diese Fehlermeldung erscheint seit Debian 11, wenn man versucht, einen neuen GnuPG-Schlüssel hinzuzufügen
<syntaxhighlight lang="bash" highlight="1">
sudo apt-key export 12576482 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/lynisCISOfy.gpg
</syntaxhighlight>


Bislang wurde für Drittanbieter-Paketquellen von APT-Paketen der öffentliche Schlüssel heruntergeladen und an '''apt-key add''' übergeben
; Test
# '''wget -q -O - <nowiki>https://download.bell-sw.com/pki/GnuPG-KEY-bellsoft</nowiki> | apt-key add -'''
''[[apt update]]'' sollte diese Fehlermeldungen nicht mehr ausgeben
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
OK


Per APT verteilte Softwarepakete werden signiert
; Hinweise
* Damit soll sichergestellt werden, dass ihr wirklich die originalen Pakete von der jeweiligen Organisation wie Debian erhaltet
: Dieser Vorgang muss für jedes betroffene Repository wiederholt werden
* Wie das im Detail funktioniert, hängt mit asymmetrischer Kryptografie und der Funktionsweise von PGP zusammen
** Das würde hier den Rahmen sprengen
** Wir belassen es daher an der Stelle dabei, dass sich mit der Signatur die Integrität der Pakete sicherstellen lässt – was grundsätzlich eine sinnvolle Sache ist und die Sicherheit erhöht


Mit '''apt-key add''' wird der öffentlichen Schlüssel des Repositorys gespeichert und ihm vertraut
=== Schlüssel neu einrichten ===
* Ansonsten hätte das System kein Vertrauensverhältnis – die Installation von Paketen aus nicht vertrauenswürdigen Quellen würde abgewiesen
; Weitere Möglichkeit
* Kann man selbst testen, indem man eine Drittanbieter-Paketquelle hinzufügt, ohne vorher deren öffentlichen Schlüssel zu importieren
# Schlüssel löschen
# Schlüssel neu anlegen


==== apt-key ist veraltet ====
=== trusted.gpg kopieren ===
* Fügt ihr einen neuen Schlüssel mit apt-key hinzu, wird dieser in einen Ordner von vertrauenswürdigen Schlüsseln (konkret '''/etc/apt/trusted.gpg.d''') abgelegt
Gesamte trusted.gpg kopieren
* Wenn man ein Paket installiert, prüft apt, ob es von '''irgendjemandem''' signiert wurde, dessen Schlüsseln wir vertrauen
; Warung
* Es wird nicht vorher abgefragt, ob der Schlüssel zu der Paketquelle passt
: Diese Methode kann die Sicherheit Ihres Systems gefährden


Das ist zwar immer noch sicherer als gar keine Signaturen zu verwenden, aber es schwächt die Sicherheit
<syntaxhighlight lang="bash" highlight="1" line>
* Besser wäre es, wenn ein Schlüssel nur für das dazugehörige Repository akzeptiert wird
/etc/apt
* Also eine 1:1 Beziehung, statt eines generellen, bedingungslosen Vertrauensverhältnisses
sudo cp trusted.gpg trusted.gpg.d
* Aus diesem Grunde wurde '''apt-key''' als veraltet markiert, damit man auf dieses neue Verfahren wechselt
</syntaxhighlight>


Seit Debian 11 bzw.&nbsp;Ubuntu 22.04 ist [[apt-key]] nur als veraltet markiert und daher weiterhin verfügbar
<noinclude>
* Allerdings ist das die letzte Hauptversion!
* Mit der nächsten Version von Debian bzw.&nbsp;Ubuntu wird es aller Voraussicht nach entfernt
* Ich werde es daher in den Beiträgen nicht mehr einsetzen und ihr solltet es möglichst auch nicht mehr tun


== Anhang ==
=== Siehe auch ===
* [[apt-key]]
{{Special:PrefixIndex/APT/Fehlerbehebung}}


==== Dokumentation ====
===== Man-Page =====
===== Info-Pages =====
==== Links ====
===== Projekt =====
===== Weblinks =====


[[Kategorie:APT/Fehlerbehebung]]
[[Kategorie:APT/Fehlerbehebung]]
</noinclude>

Aktuelle Version vom 6. November 2024, 12:25 Uhr

Legacy keyring - Schlüssel in veralteten Schlüsselbund gespeichert

Fehlermeldung

Key is stored in legacy trusted.gpg keyring
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
Beispiel
sudo apt update
Warning: https://packages.cisofy.com/community/lynis/deb/dists/stable/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
Ursache

Die Datei trusted.gpg (Schlüsselbund) ist veraltetet

Lösungen

Möglichkeit Beschreibung
1 Schlüssel exportieren
2 Schlüssel neu einrichten
3 trusted.gpg kopieren

Schlüssel exportieren

Schlüssel in eigene Datei exportieren

Ermittlung der Schlüssel-ID

Suche des Schlüssels anhand seines Namens

apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------

[[...]]
pub   rsa4096 2021-06-22 [SC] [verfällt: 2031-06-20]
      84FA A998 3B24 AEF2 4D6C  87F1 FEBB 7D18 1257 6482
uid        [ unbekannt ] CISOfy software signing <software@cisofy.com>
sub   rsa4096 2021-06-22 [E] [verfällt: 2031-06-20]
sub   rsa4096 2021-06-22 [S] [verfällt: 2031-06-20]
[[...]]
Schlüssel-ID

Die letzten 8 Zeichen der Schlüssel-Nummer (Zeile 8) ohne Leerzeichen

  • Hier 1257 6482
  • 12576482
Schlüssel exportieren
  • Umwandeln in eine .gpg-Datei
  • Dateinamen angeben, der zu dem Paket passt, für das der Schlüssel bestimmt ist
Beispiel
sudo apt-key export 12576482 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/lynisCISOfy.gpg
Test

apt update sollte diese Fehlermeldungen nicht mehr ausgeben

Hinweise
Dieser Vorgang muss für jedes betroffene Repository wiederholt werden

Schlüssel neu einrichten

Weitere Möglichkeit
  1. Schlüssel löschen
  2. Schlüssel neu anlegen

trusted.gpg kopieren

Gesamte trusted.gpg kopieren

Warung
Diese Methode kann die Sicherheit Ihres Systems gefährden
/etc/apt
sudo cp trusted.gpg trusted.gpg.d


Anhang

Siehe auch

Dokumentation

Man-Page
Info-Pages

Links

Projekt
Weblinks