Clés et authentification

Objet : Clés et authentification
Niveau requis :
débutant, avisé
Commentaires : Pour permettre à votre gestionnaire de paquets d'être certain de la fiabilité du dépôt
Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !
Suivi :
à-tester
- Création par smolski le 13/05/2010
- Testé par …. le ….
- Déclaration d'obsolescence partielle par --gilles-- le 14/11/2021
Commentaires sur le forum : C'est ici¹⁾

Introduction

Pour plus de sécurité lors de l'installation de vos programmes, les dépôts Debian utilisent un système de clés de chiffrement qui permet à votre gestionnaire de paquets d'être certain que le dépôt est sûr. Les clés des dépôts officiels sont contenues dans le paquet debian-archive-keyring, installé automatiquement avec Debian. Il est bon de noter que l'installation de ce paquet fourni aussi la clé d'identification pour le dépôt backports. Auparavant, il fallait installer le paquet debian-backports-keyring.

Methode 1 :

Clés d'authentification par le Serveur des Clés.

Donc après :

apt-get update

Tout ce dont nous avons besoin est le paquet gnupg :

apt-get install gnupg

Nous sommes devant un dépôt reconnu de debian et sur lequel nous avons toute confiance. On peut donc ajouter la clé GPG à l’utilitaire apt pour cette source.
Nous allons la récupérer depuis le serveur de clés :

gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys <votre clé>

hkp://wwwkeys.eu.pgp.net

ne fonctionne pas vous pouvez utiliser

hkp://wwwkeys.pgp.net

gpg --keyserver pgpkeys.mit.edu --recv-key  <votre clé>

Il faut bien entendu remplacer <votre clé> par celle qui apparaît dans votre message d’erreur, ici 07DC563D1F41B907 :

gpg: requete de la cle 1F41B907 du serveur hkp wwwkeys.eu.pgp.net
gpg: /root/.gnupg/trustdb.gpg: base de confiance creee
gpg: cle 1F41B907: cle publique « Christian Marillat <marillat@debian.org> » importee
gpg: aucune cle de confiance ultime n'a ete trouvee
gpg:        Quantite totale traitée: 1
gpg:                       importée: 1

La clé est importée, il faut maintenant l’intégrer à APT :

gpg --armor --export <votre clé> | /etc/apt/trusted.d/nom-de-la-clef.asc

Le dépôt sera maintenant signé, tant que ce dernier ne changera pas la clé pour sa source.

Script

Vous pouvez aussi utiliser ce script en remplaçant dedans :

 <votre cle> par l'authentification issu du message d'erreur, comme précédemment.

Un petit shell GETKEY :

#!/bin/sh
# @(#) TITLE MESSAGE: Recuperation des cles GPG et exportation vers apt
# @(#) Feilong version 05/01/2009
# @(#) Syntaxe: GETKEY KEY
# @(#) MACHINE VM DEBIAN lenny
if [ $(id -u) != "0" ]; then
echo "Seul root peut executer ce shell" >&2
exit 1
fi
if [ $# -ne 1 ]; then
echo "syntaxe : GETKEY <votre cle>"
exit 1
fi
gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys $1
if [ $? -ne 0 ]; then
echo " Une erreur est survenu pendant le téléchargement de la clé"
exit 1
fi
gpg --armor --export $1 > /etc/apt/trusted.d/${1}.asc
if [ $? -ne 0 ]; then
echo " Une erreur est survenu pendant l'export de la clé vers apt"
exit 1
fi
apt-get update

Vraiment geek, n'est-il pas ?

Le lien vers le tuto original est ici : Signature des dépôts ou Erreur GPG pendant apt-get update

N'hésitez pas d'y faire une petite visite… Merci à eux !

Methode 2

si les deux méthodes ci - dessus ne fonctionnent pas ou mal ,

reste une , toute simple .

suffit de télécharger la clé sur le bon dépôt gpg .

exemple : téléchargement des paquets gpg :

wget https://last-public-ovh-kernel.snap.mirrors.ovh.net/pubkey-mirror.ovh.net.gpg
wget https://packages.sury.org/php/apt.gpg

puis enregistrement des clés :

mv pubkey-mirror.ovh.net.gpg /etc/apt/trusted.d/ovh.asc

mv apt.gpg /etc/apt/trusted.d/sury.asc

note : on peut effacer la clé avec

rm /etc/apt/trusted.d/le_fichier_a_effacer.asc

merci éfpè .

¹⁾

N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !