La clé publique n'est pas disponible : Encore !

Bonjour,

Je viens d’installer debian 6 sous un vieux pc

j’ai ajouté dans les dépots multimédia dans : gedit /etc/apt/sources.list

puis j’ai fais

et redémarrer le système mais toujour la même erreur

[quote]Lecture des listes de paquets… Fait
W: Erreur de GPG : http://www.debian-multimedia.org squeeze Release : Les signatures suivantes n’ont pas pu être vérifiées car la clé publique n’est pas disponible : NO_PUBKEY 07DC563D1F41B907
W: Erreur de GPG : http://mirror.home-dn.net squeeze Release : Les signatures suivantes n’ont pas pu être vérifiées car la clé publique n’est pas disponible : NO_PUBKEY 07DC563D1F41B907
[/quote]

isalo.org/wiki.debian-fr/ind … _NO_PUBKEY

Salut à tous !

« Gksu » ne me semble pas indiqué, d’autant qu’il n’y a rien de graphique à ce moment. Je te conseillerais plutôt « su » ou bien « sudo ».

C’est inutile.

Le message indique clairement que la clef publique de Debian-multimédia n’est pas installée. Il te faut l’installer. Pour cela, deux possibilités :

$ su -
# aptitude install debian-multimedia-keyring
# aptitude update

Ou bien :

$ sudo aptitude install debian-multimedia-keyring
$ sudo aptitude update

Quelle que soit la méthode choisie, au moment d’installer effectivement la clef (« aptitude install debian-multimedia-keyring »), tu auras un message indiquant que tu ne disposes pas de la signature pour installer ce paquet, ce qui est normal, puisque justement tu cherches à l’installer. Répond donc « Y » à la question.

À bientôt.

Le Farfadet Spatial

Ok thanks mais lors de l’ajout de la clé j’ai ce message : Des paquets non certifiés ?!

Salut,

Aucun souci, tu peux y aller franco …

[quote=“Robootics”]Ok thanks mais lors de l’ajout de la clé j’ai ce message : Des paquets non certifiés ?!

[quote]
Des paquets non certifiés peuvent compromettre la sécurité de votre
système. Vous ne devriez les installer que si vous êtes certain
que c’est bien votre intention.
[/quote][/quote]
c’est justement ce paquet qui certifie le dépot

quelqu’un qui n’a pas lu le wiki : Encore !

ok sa roule

Thanks

Salut à tous !

[quote=“Robootics”]Ok thanks mais lors de l’ajout de la clé j’ai ce message : Des paquets non certifiés ?!

[quote]
Des paquets non certifiés peuvent compromettre la sécurité de votre
système. Vous ne devriez les installer que si vous êtes certain
que c’est bien votre intention.
[/quote][/quote]

En effet, la question avait été anticipée :

Tu es en train d’installer la clef, donc la clef n’est pas encore disponible.

À bientôt.

Le Farfadet Spatial

J’espère qu’il est bien clair pour tout le monde ici que cette façon de faire amoindrit notablement l’intérêt de signer les paquets…

La clef est disponible, cela veut dire que les paquets multimedia ne sont pas signé ? Je ne comprends pas…un complément d’explication svp

Merci

[quote=“PascalHambourg”]J’espère qu’il est bien clair pour tout le monde ici que cette façon de faire amoindrit notablement l’intérêt de signer les paquets…[/quote]Peux tu préciser ta pensée.

Par exemple, les signatures des dépôts debian sont installées par le paquet debian-archive-keyring (l’install initiale fait ça toute seule).
Pour le dépôt multimédia, c’est le paquet debian-multimedia-keyring installé à la demande de l’utilisateur.
Si je rentre à la main la clé publique, il me faut avoir la même confiance envers la valeur trouvée sur le site du dépôt.

Dans les 2 cas, avec gpg je peux vérifier les clés que j’ai installées et les comparer avec les clés publiées.

De toute manière, il faut bien faire confiance la 1ere fois , non ?

Salut à tous !

De même, je veux bien avoir des précisions.

Dans le principe, je préfère d’abord télécharger la clef à cette adresse : http://debian-multimedia.org/pool/main/d/debian-multimedia-keyring/debian-multimedia-keyring_2010.12.26_all.deb.

Ensuite l’installer avec :

$ su -
# dpkg -i debian-multimedia-keyring_2010.12.26_all.deb

Ou bien :

$ sudo dpkg -i debian-multimedia-keyring_2010.12.26_all.deb

Ensuite ajouter le dépôt Debian-multimedia et mettre à jour la base de données avec :

# aptitude update

Ou bien :

$ sudo aptitude update

Cela dit, si le dépôt a déjà été ajouté, je ne vois pas en quoi cela ajoute une faille supplémentaire d’utiliser directement Aptitude (ou Apt-get). De même, s’il y a effectivement une faille de sécurité entre le moment où on a ajouté le dépôt et le moment où on a installé la clef, je ne vois pas en quoi cela diminue la sécurité à l’usage après ceci réalisé.

À bientôt.

Le Farfadet Spatial

La signature d’un paquet sert à vérifier qu’il est “authentique”.
Si on récupère le certificat permettant de vérifier cette signature de la même source, ça ne sert à rien car si la source est compromise ou usurpée le certificat le sera aussi.

Je crois que l’on parle de 2 choses un poil différentes :
l’authentification du paquet
l’authentification du dépôt
Mais au final, il faut bien prendre les clés quelque part.

Par défaut, les clés des dépôts standards debian sont extraites d’un paquet debian pendant l’installation initiale, non ?
Pour le dépôt marillat, ajouté à posteriori, il existe la méthode d’installation de la clé “à la mano” ou par le paquet qui va bien.

Si on est pointilleux, on peut utiliser apt-key listpour visualiser les clés rentrées dans APT et les comparer.
Mais les comparer avec quoi ? On retombe dans le même problème de “croyance” envers les clés que l’on va considérer comme authentiques pour les comparer à celle entrées dans APT.

Ouais, mais pas sur le dépôt où on va chercher les paquets.

Ouais, mais pas sur le dépôt où on va chercher les paquets.[/quote]
Je suis bien ce que vous dites, je ne pense pas que vous ayez tord (tous les deux), la question qui me turlupine ; ou dois-je prendre la clef du dépot multimédia ?

PS: je suis peut-être complétement à coté de la plaque, mais vu que j’ai répondu au message en conseillant le tuto du wiki, je tiens à me faire une opinion claire de ce sujet.

Merci pour vos conseils

Ouais, mais pas sur le dépôt où on va chercher les paquets.[/quote]
Je suis bien ce que vous dites, je ne pense pas que vous ayez tord (tous les deux), la question qui me turlupine ; ou dois-je prendre la clef du dépot multimédia ?

PS: je suis peut-être complétement à coté de la plaque, mais vu que j’ai répondu au message en conseillant le tuto du wiki, je tiens à me faire une opinion claire de ce sujet.

Merci pour vos conseils[/quote]

Tu fais comme moi tu te passe du dépôt multimédia et tu compile le peu d’application que tu as besoin toi même

J’suis trop fainéant

Salut à tous !

Même question que d’autres : où trouver la clef pour Debian-multimedia, si ce n’est sur le site ? Par ailleurs, lorsque la clef change, comment être certain d’être avertit avant que le changement de clef soit effectif – avec le paquet, au moins Aptitude le met-il à jour automatiquement. Plus largement, où dois-je trouver les différentes clefs des dépôts officiels ? Pour ma part, je ne sais les trouver qu’auprès du même fournisseur que la distribution elle-même.

Si le dépôt n’est pas corrompu au moment où on installe la clef, alors ensuite on peut s’assurer que les paquets installés sont authentiques – c’est-à-dire, qu’ils correspondent à la clef publique que l’on a désormais stockée sur sa propre machine. Je suis d’accord pour dire qu’il y a un peu plus de sécurité de récupérer la clef chez un tiers, car au moment de l’installation de la clef on sera averti si l’une des deux sources est corrompue, néanmoins passé cette étape, je ne vois pas ce que cela ajoute (je veux bien être détrompé). Bref, pour ce que j’en sais, les affirmations « ça ne sert à rien » et « cette façon de faire amoindrit notablement l’intérêt de signer les paquets » me semblent excessives.

Se passer des dépôts, pourquoi pas, mais il est délicat de se tenir au courant des mises à jour de tous les logiciels que l’on utilise, c’est même la raison pour laquelle est apparu le concept de distribution… De plus, comment puis-je être certain que les sources que j’ai téléchargées sont authentiques, sinon en passant par un système de signatures (et alors le problème est exactement le même) ?

À bientôt.

Le Farfadet Spatial