staging.inyokaproject.org

via DuckDuckGo

Update bricht ab mit "Signatur-Verifikation fehlgeschlagen (NO_PUBKEY AA16FCBCA621E701)

Status: Gelöst | Ubuntu-Version: Ubuntu GNOME 20.04 (Focal Fossa)
Antworten |

danubio

Anmeldungsdatum:
2. Januar 2011

Beiträge: 144
Zitieren
13. Februar 2023 11:29

Beim Update bekomme ich Fehlermeldungen über einen fehlenden GPG public key und das Update bricht ab:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
$ sudo apt update 
Hit:1 http://archive.ubuntu.com/ubuntu focal InRelease
Get:2 https://apt.releases.hashicorp.com focal InRelease [18,0 kB]
Hit:3 http://archive.ubuntu.com/ubuntu focal-updates InRelease             
...
Hit:6 http://archive.ubuntu.com/ubuntu focal-security InRelease
Err:2 https://apt.releases.hashicorp.com focal InRelease
  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AA16FCBCA621E701
Fetched 18,0 kB in 0s (46,0 kB/s)
Reading package lists... Done
Building dependency tree       
Reading state information... Done
3 packages can be upgraded. Run 'apt list --upgradable' to see them.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://apt.releases.hashicorp.com focal InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AA16FCBCA621E701
W: Failed to fetch https://apt.releases.hashicorp.com/dists/focal/InRelease  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AA16FCBCA621E701
W: Some index files failed to download. They have been ignored, or old ones used instead.

Wie kann ich den alten Schlüssel entfernen und den neuen installieren (und dabei auch überprüfen, Signaturfehler machen mich immer ein wenig nervös 😉 ?

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18245
Zitieren
13. Februar 2023 11:34

Was ist das für ein Repo? Bietet der Betreiber Instruktionen an, wo es den Schlüssel gibt?

danubio

(Themenstarter)

Anmeldungsdatum:
2. Januar 2011

Beiträge: 144
Zitieren
13. Februar 2023 11:54

DJKUhpisse schrieb:

Was ist das für ein Repo?

Ich kenne keine Rückwärtssuche (welche Apps sind von einem Repo installiert), aber Hashicorp ist ziemlich sicher das Repo für meine vagrant-Installation

Bietet der Betreiber Instruktionen an, wo es den Schlüssel gibt?

Gefunden:

https://www.hashicorp.com/blog/announcing-the-hashicorp-linux-repository

Und ich bin nicht alleine mit diesem Problem:

https://stackoverflow.com/questions/75362188/no-pubkey-for-apt-releases-hashicorp-com-in-apt

Ich konnte es lösen mit dem Download des Keys gemäß Anleitung von der offiziellen Web-Seite:

1
2
wget -O- https://apt.releases.hashicorp.com/gpg | gpg --dearmor | sudo tee /usr/share/keyrings/hashicorp-archive-keyring.gpg
sudo apt update

Ich bin mir trotzdem unsicher, ob mir damit jemand einen falschen Key unterjubel könnte (z. B. wenn die Web-Seite gehackt wurde)...

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18245
Zitieren
13. Februar 2023 11:58

ob mir damit jemand einen falschen Key unterjubel könnte (z. B. wenn die Web-Seite gehackt wurde)...

Natürlich geht das. Das sind die Sicherheitsprobleme bei PGP.

sudo apt update

danubio

(Themenstarter)

Anmeldungsdatum:
2. Januar 2011

Beiträge: 144
Zitieren
13. Februar 2023 11:59

danubio schrieb:

Ich bin mir trotzdem unsicher, ob mir damit jemand einen falschen Key unterjubeln könnte (z. B. wenn die Web-Seite gehackt wurde)...

Zumindest steht auf der Web-Seite der Fingerprint (ist natürlich auch kein zuverlässiger Kanal) und wie man ihn überprüfen kann:

https://www.hashicorp.com/official-packaging-guide
Antworten |