apt-get NO_PUBKEY

apt-get NO_PUBKEY

Hin und wieder verfügt ubuntu nicht über ausreichende Signaturen, wenn man mit apt-get update die Paketinformationen aus allen Software Repositories herunterladen möchte. Dies macht sich z. B. mit folgender Fehlermeldung bemerkbar: 

GPG-Fehler: http://extras.ubuntu.com oneiric Release:
Die folgenden Signaturen konnten nicht überprüft werden,
weil ihr öffentlicher Schlüssel nicht verfügbar ist:
NO_PUBKEY 16126D3A3E5C1192

Abhilfe im technischen Hinblick schafft das Hinzufügen des fehlenden Schlüssels: 

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 16126D3A3E5C1192

Mit dem Hinzufügen eines Schlüssels gelten alle Pakete, die mit diesem Schlüssel signiert wurden, als vertrauenswürdig. Entsprechend ist darauf zu achten, dass der Schlüssel bzw. dessen Hash tatsächlich der Signaturschlüssel eines vertrauenswürdigen Paketmaintainers oder einer vertrauenswürdigen Organisation ist. Die PGP-Schlüsselserver selbst liefern lediglich den Schlüssel, der zum Hash passt. Im Zweifel auch den Schlüssel eines Angreifers.

Entsprechend ist insbesondere ist darauf zu achten, dass der vermeintlich vertrauenswürdige Schlüssel nicht bei der Übermittlung bereits verfälscht worden ist. Potentiell würde man sonst den Schlüssel eines Angreifers als vertrauenswürdig markieren und damit auch die Schadsoftware eines solchen Angreifers.

Als Anwender muss man sich also im klaren sein, ob man einer Person oder Organisation prinzipiell vertrauen möchte. Erst im Anschluss geht es darum, sich den Hash des entsprechenden Schlüssels in unverfälschter Weise zu besorgen. Eine Möglichkeit, die Integrität und Herkunft sicherstellen sollte ist die Übertragung des Schlüssel-Hashes mittels HTTPS von der Webseite des Anbieters.

Die Verwendung von sudo add-apt-repository ppa:LP-BENUTZER/PPA-NAME ist eine weitere Möglichkeit zur Einbindung von Paketrepositories. Diese Möglichkeit steht allerdings nur für Paketrepositories zur Verfügung, die auf Launchpad gehostet werden. Launchpad wiederum ist insbesondere für Ubuntu-Benutzer zwar eine beliebte Anlaufstelle, jedoch keine nenneswerte Kontrollinstanz.

Generell muss man sich darüber im Klaren sein, dass das Hinzufügen von Drittquellen in der Regel bedeutet, dass, man einem erweiterten Personenkreis Vertrauen schenkt. Insofern ist es ratsam, von dieser Möglichkeit nur in Ausnahmefällen Gebrauch zu machen.