[Ubuntu-QC] Clés publiques non disponibles?

Philippe Gauthier philippe.gauthier at deuxpi.ca
Dim 28 Mar 03:28:06 BST 2010 

Le samedi 27 mars 2010 à 21:10 -0400, Gilbert Dion a écrit :

> Je n'ai pas le souvenir d'avoir omis de saisir la clé publique lors
> d'ajouts de dépôts. On dirait que c'est survenu à l'occasion d'autres
> problèmes dans les mises à jour récentes. Getdeb, entre autres, ne
> faisait plus de mises à jour, et avant, c'était le serveur de Cairo
> Dock qui était à l'hôpital. 

C'est pas généralement critique puisque ce ne sont que des
avertissements que l'authenticité n'a pu être vérifiée. Pour des PPA
ajoutés manuellement, c'est un problème qui peut survenir facilement. Si
la même chose arrivait avec les dépôts par défaut, je me poserais un peu
plus de questions...

> 
> Mais là, c'est Launchpad, et dieu sait que j'ai de nombreux dépôts
> différents sur Launchpad. 

D'un côté, apt décrit les clés qui manquent. D'un autre côté, ce serait
idéal d'aller manuellement chercher sur Launchpad pour chaque dépôt en
question la clé publique, question de valider l'authenticité de toute
l'opération.

> Sur un forum, on propose la solution suivante:
> 
> 
>         gpg --recv-keys 084AF32EC2A6B0B1
>         gpg --armour --export 084AF32EC2A6B0B1 | sudo apt-key add -
> 

La première ligne importe la clé publique dans ton trousseau personnel.
La seconde ligne copie cette clé publique vers le trousseau de "apt".

Pour augmenter les chances de succès (à vérifier), on pourrait ajouter à
la première commande l'option --keyserver tel que

    gpg --keyserver keyserver.ubuntu.com --recv-keys <fingerprint>


> Mais dès la première commande, j'obtiens ceci: 
> 
> 
>         gpg: AVERTISSEMENT: le propriétaire du fichier de
>         configuration `/home/gilbert/.gnupg/gpg.conf' est peu sûr
>         gpg: les appels aux programmes externes sont désactivés car
>         les permissions du fichier d'options sont trop peu sûres
>         gpg: erreur de communication avec le serveur de clés: erreur
>         générale
>         gpg: la réception depuis le serveur de clés a échoué: erreur
>         générale

Voici les permissions pour le répertoire .gnupg sur mon ordinateur.
GnuPG est "sensible" à ces permissions afin de forcer l'utilisateur à
rendre son trousseau de clés le plus sécuritaire possible.

phil at tigrepad:~$ ls -al .gnupg/
total 156
drwx------  3 phil phil  4096 2010-03-27 22:06 .
-rw-------  1 phil phil  8145 2010-02-06 00:40 gpg.conf
-rw-------  1 phil phil 29718 2010-03-27 22:06 pubring.gpg
-rw-------  1 phil phil   600 2010-03-10 19:07 random_seed
-rw-------  1 phil phil  7432 2010-02-06 00:40 secring.gpg
-rw-------  1 phil phil  4800 2010-02-06 00:40 trustdb.gpg

Autrement dit, toutes les permissions sont en lecture-écriture pour le
propriétaire seulement.

>  Comment savoir quels dépôts sont en défaut d'authentification?

Je ne sais pas, à part que ce sont seulement des PPA.

>  Comment retrouver les clés? Est-ce que les mises à jour se font quand
> même?

Ici j'ai seulement tracé les grandes lignes. Si tu as des questions à
propos de GnuPG, des permissions de fichiers ou n'importe quoi d'autre,
je pourrais détailler davantage la démarche.

Les mises à jour devraient se faire quand même.



-- 
Philippe Gauthier <philippe.gauthier at deuxpi.ca>
http://www.deuxpi.ca/

Plus d'informations sur la liste de diffusion Ubuntu-quebec