Hallo zusammen, im Zuge der Darstellung einer Schwachstelle bei den Synchronizing Key Server (SKS) Server von GnuPG (siehe u.a. [0]) merkte Hanno Böck an, dass über "poisoned pgp key" unter Verwendung des nachstehenden Kommandos bei Debian/Ubuntu, diese u.U unbrauchbar werden können apt-key adv --recv-keys --keyserver keyserver.ubuntu.com [keyid] Statt auf den Keyserver zurückzugreifen (was auf vielen Seiten als Howto empfohlen wird), kann aber auch den PGP-Schlüssel (alleine) in vielen Fällen direkt von der Webseite des Repos herunterladen und installieren "curl https://[some_url_with_the_key] | apt-key add -" Dies habe ich so auch schon des öfteren gesehen, wie sich aber im Laufe der Diskussion herausstellte, sind diese Methoden deprecated - siehe [2] Der korrekte Weg ist über die Installation der Schlüssel in trusted.gpg.d/ (Grund ist Unabhängigkeit von gnupg) - siehe dazu auch [3]. Also z.B: "curl https://[some_url_with_the_key] | sudo apt-key --keyring /etc/apt/trusted.gpg.d/foo.gpg add -" Voraussetzung ist hier der "dirmngr" (siehe z.B. [4]) Es können auch ASCII-armored keys in trusted.gpg.d/ abgelegt werden, vorausgesetzt die Datei endet auf ".asc". Sofern nicht selber schon gesehen/-lesen hier FYI VG Bernd [0] https://heise.de/-4458354 [1] https://wiki.debian.org/SecureApt [2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858238 [3] https://manpages.debian.org/stretch/apt/apt-key.8.de.html [4] https://packages.debian.org/de/buster/dirmngr -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de