Hallo zusammen,
im Zuge der Darstellung einer Schwachstelle bei den Synchronizing Key Server (SKS) Server von GnuPG (siehe u.a. [0]) merkte Hanno Böck an, dass über "poisoned pgp key" unter Verwendung des nachstehenden Kommandos bei Debian/Ubuntu, diese u.U unbrauchbar werden können
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com [keyid]
Statt auf den Keyserver zurückzugreifen (was auf vielen Seiten als Howto empfohlen wird), kann aber auch den PGP-Schlüssel (alleine) in vielen Fällen direkt von der Webseite des Repos herunterladen und installieren
"curl https://%5Bsome_url_with_the_key] | apt-key add -"
Dies habe ich so auch schon des öfteren gesehen, wie sich aber im Laufe der Diskussion herausstellte, sind diese Methoden deprecated - siehe [2]
Der korrekte Weg ist über die Installation der Schlüssel in trusted.gpg.d/ (Grund ist Unabhängigkeit von gnupg) - siehe dazu auch [3]. Also z.B:
"curl https://%5Bsome_url_with_the_key] | sudo apt-key --keyring /etc/apt/trusted.gpg.d/foo.gpg add -"
Voraussetzung ist hier der "dirmngr" (siehe z.B. [4])
Es können auch ASCII-armored keys in trusted.gpg.d/ abgelegt werden, vorausgesetzt die Datei endet auf ".asc".
Sofern nicht selber schon gesehen/-lesen hier FYI
VG
Bernd
[1] https://wiki.debian.org/SecureApt
[2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858238
[3] https://manpages.debian.org/stretch/apt/apt-key.8.de.html
[4] https://packages.debian.org/de/buster/dirmngr
rwth-unix-admin@lists.rwth-aachen.de