Eine oder mehrere PGP-Signaturen konnten nicht überprüft werden

[manjaroneuling]

Hallo,

ich versuche gerade Discord aus AUR zu installieren aber irgendwie komme ich nicht weiter als:

Code: Alles auswählen

==> Überprüfe Signaturen der Quell-Dateien mit gpg...
    llvm-5.0.0.src.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel 0FC3042E345AD05D)
    libcxx-5.0.0.src.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel 0FC3042E345AD05D)
    libcxxabi-5.0.0.src.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel 0FC3042E345AD05D)
==> FEHLER: Eine oder mehrere PGP-Signaturen konnten nicht überprüft werden!

Das System ist noch recht frisch. Ist es kompromitiert?

[Blueriver]

Probier es mal mit

Code: Alles auswählen

sudo rm -r /etc/pacman.d/gnupg
sudo pacman -Sy gnupg archlinux-keyring manjaro-keyring
sudo pacman-key --init
sudo pacman-key --populate archlinux manjaro 
sudo pacman-key --refresh-keys

Danach noch mal versuchen Discord aus AUR zu installieren.

[Quinix]

hallo,
ich hatte das gleiche problem. und eine suche auf den AUR seiten von arch linux brachte dann die lösung.

zitat: 
The solution was to import the keys manually.
As you can see in my previous comment it told me
libcxxabi-5.0.0.src.tar.xz ... FAILED (unknown public key 0FC3042E345AD05D)
for example.

After I ran "gpg --recv-keys 0FC3042E345AD05D" (replace 0FC3042E345AD05D with your key) libc++ built without any errors.

im terminal eben jenes: gpg --recv-keys 0FC3042E345AD05D    ... eingeben. dann sollte es klappen.

ich musste das zwei mal machen.  im alten system, und dann in einem neu aufgesetzten. hat jedes mal gekappt.

link zum AUR forum: https://aur.archlinux.org/packages/discord/?comments=all

rückmeldung bzgl. ob es bei dir geklappt hat wären ganz nett und vielleicht für andere hilfreich.

gruß,
micha



[quote="manjaroneuling"]
Hallo,

ich versuche gerade Discord aus AUR zu installieren aber irgendwie komme ich nicht weiter als:

Code: Alles auswählen

==> Überprüfe Signaturen der Quell-Dateien mit gpg...
    llvm-5.0.0.src.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel 0FC3042E345AD05D)
    libcxx-5.0.0.src.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel 0FC3042E345AD05D)
    libcxxabi-5.0.0.src.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel 0FC3042E345AD05D)
==> FEHLER: Eine oder mehrere PGP-Signaturen konnten nicht überprüft werden!

Das System ist noch recht frisch. Ist es kompromitiert?
[/quote]

[manjaroneuling]

Hallo,

danke für eure Hilfe.

Da ich das System gernverstehen würde und mir denke das die Keys schon den Sinn haben Software zu "verifizieren" frage ich:

Wie kann es bei einem recht frischen System, oder überhaupt, dazu kommen?
Muss ich die Keys irgendwo vergleichen und verifizieren? Klar könnte ich jetzt irgendwas ins Terminal copy pasten aber ich würde auch gern wissen was und warum.


Nach erfolgter Erklärung probiere ich die Lösung dann gern aus und gebe Rückmeldung

Danke, falls sich jemand die Mühe der Erklärung macht.



Nachtrag:

Code: Alles auswählen

gpg --recv-keys 0FC3042E345AD05D
gpg: Die "Keybox" `/root/.gnupg/pubring.kbx' wurde erstellt
gpg: key 0FC3042E345AD05D: 3 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: /root/.gnupg/trustdb.gpg: trust-db erzeugt
gpg: Schlüssel 0FC3042E345AD05D: Öffentlicher Schlüssel "Hans Wennborg <hans@chromium.org>" importiert
gpg: keine ultimativ vertrauenswürdigen Schlüssel gefunden
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                              importiert: 1

Erhalte bei dem Versuch der Installation von Discord aber den gleichen Fehler.

[gosia]

Hallo manjaroneuling,
[quote="manjaroneuling"]
Da ich das System gernverstehen würde und mir denke das die Keys schon den Sinn haben Software zu "verifizieren" frage ich:

Wie kann es bei einem recht frischen System, oder überhaupt, dazu kommen?
Danke, falls sich jemand die Mühe der Erklärung macht.
[/quote]
Naja, viel Mühe gebe ich mir jetzt nicht, nur ganz kurz:
Daß der Key den Sinn hat, die Software zu verifizieren, hast Du ja schon festgestellt. Mit einem "frischen System" hat es eher wenig zu tun, sondern mit der Benutzung von AUR, also mit der Installation aus einem inoffizielle Benutzer-Repo. Dort kann es schon vorkommen, daß ein Entwickler-Key (der ja nicht offiziell ist) erst heruntergeladen werden muss, um "bekannt" zu werden. Näheres kannst Du dazu hier nachlesen:
https://wiki.archlinux.org/index.php/Pa ... ge_signing
vor allem den Punkt "Adding unofficial keys"
und/oder diesen Thread
https://de.manjaro.org/http://127.0.0.1 ... ic.php?t=5
der im Prinzip auch dieses Thema behandelt, nur eben für ein ganzes ISO, was aber letztendlich auf das gleiche hinausläuft. Paket oder ISO verifizieren, sind unter Linux alles nur Dateien.

Viele Grüße gosia

[gosia]

Hallo manjaroneuling,
[quote="manjaroneuling"]

Code: Alles auswählen

gpg --recv-keys 0FC3042E345AD05D
gpg: Die "Keybox" `/root/.gnupg/pubring.kbx' wurde erstellt

[/quote]
Hast Du

Code: Alles auswählen

gpg --recv-keys 0FC3042E345AD05D

etwa mit sudo oder gar als root gemacht? wegen der Keybox im root-Ordner

Code: Alles auswählen

gpg: Die "Keybox" `/root/.gnupg/pubring.kbx' wurde erstellt

die muss doch in deinem Homeverzeichnis erstellt werden

Code: Alles auswählen

~/.gnupg/pubring.kbx

also bitte gpg als normaler User.

Viele Grüße gosia