Diskussion:APT/Fehlerbehebung/Legacy keyring: Unterschied zwischen den Versionen

Versionsgeschichte interaktiv durchsuchen

Aktuelle Version vom 11. Mai 2025, 20:52 Uhr

Hintergrund

Diese Fehlermeldung erscheint seit Debian 11, wenn man versucht, einen neuen GnuPG-Schlüssel hinzuzufügen

Bislang wurde für Drittanbieter-Paketquellen von APT-Paketen der öffentliche Schlüssel heruntergeladen und an apt-key add übergeben

# wget -q -O - https://download.bell-sw.com/pki/GnuPG-KEY-bellsoft | apt-key add -
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
OK

Per APT verteilte Softwarepakete werden signiert

Damit soll sichergestellt werden, dass ihr wirklich die originalen Pakete von der jeweiligen Organisation wie Debian erhaltet
Wie das im Detail funktioniert, hängt mit asymmetrischer Kryptografie und der Funktionsweise von PGP zusammen
- Das würde hier den Rahmen sprengen
- Wir belassen es daher an der Stelle dabei, dass sich mit der Signatur die Integrität der Pakete sicherstellen lässt - was grundsätzlich eine sinnvolle Sache ist und die Sicherheit erhöht

Mit apt-key add wird der öffentlichen Schlüssel des Repositorys gespeichert und ihm vertraut

Ansonsten hätte das System kein Vertrauensverhältnis - die Installation von Paketen aus nicht vertrauenswürdigen Quellen würde abgewiesen
Kann man selbst testen, indem man eine Drittanbieter-Paketquelle hinzufügt, ohne vorher deren öffentlichen Schlüssel zu importieren

apt-key ist veraltet

Fügt ihr einen neuen Schlüssel mit apt-key hinzu, wird dieser in einen Ordner von vertrauenswürdigen Schlüsseln (konkret /etc/apt/trusted.gpg.d) abgelegt
Wenn man ein Paket installiert, prüft apt, ob es von irgendjemandem signiert wurde, dessen Schlüsseln wir vertrauen
Es wird nicht vorher abgefragt, ob der Schlüssel zu der Paketquelle passt

Das ist zwar immer noch sicherer als gar keine Signaturen zu verwenden, aber es schwächt die Sicherheit

Besser wäre es, wenn ein Schlüssel nur für das dazugehörige Repository akzeptiert wird
Also eine 1:1 Beziehung, statt eines generellen, bedingungslosen Vertrauensverhältnisses
Aus diesem Grunde wurde apt-key als veraltet markiert, damit man auf dieses neue Verfahren wechselt

Seit Debian 11 bzw. Ubuntu 22.04 ist apt-key nur als veraltet markiert und daher weiterhin verfügbar

Allerdings ist das die letzte Hauptversion!
Mit der nächsten Version von Debian bzw. Ubuntu wird es aller Voraussicht nach entfernt
Ich werde es daher in den Beiträgen nicht mehr einsetzen und ihr solltet es möglichst auch nicht mehr tun

@@ Zeile 11: / Zeile 11: @@
 * Wie das im Detail funktioniert, hängt mit asymmetrischer Kryptografie und der Funktionsweise von PGP zusammen
 ** Das würde hier den Rahmen sprengen
-** Wir belassen es daher an der Stelle dabei, dass sich mit der Signatur die Integrität der Pakete sicherstellen lässt – was grundsätzlich eine sinnvolle Sache ist und die Sicherheit erhöht
+** Wir belassen es daher an der Stelle dabei, dass sich mit der Signatur die Integrität der Pakete sicherstellen lässt - was grundsätzlich eine sinnvolle Sache ist und die Sicherheit erhöht
 Mit '''apt-key add''' wird der öffentlichen Schlüssel des Repositorys gespeichert und ihm vertraut
-* Ansonsten hätte das System kein Vertrauensverhältnis – die Installation von Paketen aus nicht vertrauenswürdigen Quellen würde abgewiesen
+* Ansonsten hätte das System kein Vertrauensverhältnis - die Installation von Paketen aus nicht vertrauenswürdigen Quellen würde abgewiesen
 * Kann man selbst testen, indem man eine Drittanbieter-Paketquelle hinzufügt, ohne vorher deren öffentlichen Schlüssel zu importieren