[Gelöst] apt-get auf Drittquelle: Keys expired

[buhtz]

Mein Problem hier ist offensichtlich, dass ich gar nicht weiß, was ich hier tue.

Ich habe hier schon länger unter Debian 11 ein ownCloud für Debian 10 laufen. Also den Client. Dafür hatte ich in den Sources diese Quelle.

Code: Alles auswählen

deb https://download.owncloud.com/desktop/ownCloud/stable/2.8.2.4246/linux/Debian_10/ /

Dort erhalte ich schon länger die Meldung, dass der key expired wäre.
Jetzt habe ich mir auf dem Server die "aktuellste" 2.9er Version für Debian 11 ausgesucht und die deb-Zeile in der sources Datei geändert.

Code: Alles auswählen

deb https://download.owncloud.com/desktop/ownCloud/stable/2.9.2.6206/linux/Debian_11/ /

Das apt-get update bringt mir immer noch eine key expired Meldung.

Code: Alles auswählen

W: GPG-Fehler: https://download.owncloud.com/desktop/ownCloud/stable/2.9.2.6206/linux/Debian_11  InRelease:
Die folgenden Signaturen waren ungültig: EXPKEYSIG 0700205DFD41A71A devel OBS Project <devel@s2.owncloud.com>
E: Das Depot »https://download.owncloud.com/desktop/ownCloud/stable/2.9.2.6206/linux/Debian_11  InRelease« ist nicht signiert.

Auf dem Server sehe ich eine Datei Release.gpg. Muss ich die "installieren"? Habe diese Variante probiert.

Code: Alles auswählen

$ curl -L https://download.owncloud.com/desktop/ownCloud/stable/2.9.2.6206/linux/Debian_11/Release.key | apt-key add -

0Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

(23) Failed writing body 

Ich verstehe nicht, was ich da tue. Die Fehlermeldung verstehe ich auch nicht. "trusted.gpg.d" ist ein Verzeichnis. Wie soll ich das benutzen?

Na gut, vielleicht ist einfach "Kopieren" gemeint? Habe mit wget die Releases.key und danach auch die Releases.gpg in das trusted.gpg.d Verzeichnis gezogen. Ein "sudo apt-get update" wird jetzt noch gesprächiger. Irgendein Key ist immer noch expired. Die gpg-Datei wird ignoriert, weil das Format ungültig sei.

Puh, bin etwas überfordert. Wie gesagt, weiß ich gar nicht, was ich hier eigentlich tue.

EDIT:
Warum überhaut so ein "altes" ownCloud? Liegt am Server. Das ist nicht zu beheben. Der läuft mit neueren ownCloud Clients nicht und auch nicht mit nextCloud clients. Der Admin fuscht da nicht mehr dran rum, sondern migriert auf nextcCloud, sobald der Ressourcen dafür frei sind.

EDIT2:
Entfernen kann ich den key auch nicht. Find ihn auch nicht im Verzeichnis.

Code: Alles auswählen

sudo apt-key del 0700205DFD41A71A
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

Die Meldung erscheint mir auch widersprüchlich. Deprecated heißt ja nicht, es geht nicht, sondern es geht in der Zukunft nicht mehr. Aber der Key scheint nicht entfernt zu werden.

[schwedenmann]

Hallo

steht doch da,was du machen mußt
https://software.opensuse.org//download ... lete-files

a. Quelle zu sources.list hinzufügen
b. den key eintragen lassen


mfg
schwedenmann

[buhtz]

Die Seite kannte ich noch gar nicht.

Aber die Befehle dort irritieren mich. Dort steht nichts von Version 2.9. Ich befürchte, ich bekomme dann denn neusten 2.11 (?) branch. Das will ich auf jeden Fall vermeiden.

Ich habe testweise nur die zweite Zeile "curl -fsSL" usw ausgeführt. Keine Änderung.
Dann habe ich in dieser Zeile die URL getauscht und dort die Release.key aus dem 2.9er Verzeichnis des Servers genutzt.
Keine Änderung.

Kann es sein, dass die neuen Schüssel nichts bringen, wenn da immer noch ein alter im System hängt?
Wie kann ich den entfernen, wenn apt-get das verweigert?

[JTH]

Die Fehlermeldung verstehe ich auch nicht. "trusted.gpg.d" ist ein Verzeichnis. Wie soll ich das benutzen?

Na so wie man ein Verzeichnis eben benutzt – man legt Dateien darin ab. Statt apt-key add legt man neuerdings die Schlüsseldatei eines Repositories einfach in dem genannten Ordner ab, einen zusätzlichen Befehl muss man nicht mehr ausführen. Also einfach Datei runterladen und dorthin kopieren.

Wo du jetzt allerdings für das gefragte Repo die passende Datei herbekommst, weiß ich nicht.

Zu dem mutmaßlich noch herumliegenden, abgelaufenen Schlüssel: Was gibt dir denn

Code: Alles auswählen

apt-key list

aus?

[buhtz]

Die Schlüsseldatei (*.key?) liegt ja in dem Repo Verzeichnis drin und habe ich ja schon mehrfach per curl/wget gezogen. Das scheint entweder nicht zu reichen, oder es gibt eben einen anderen Faktor der stört.

Derzeit lautet die Fehlermeldung von apt update:

Code: Alles auswählen

Die folgenden Signaturen waren ungültig: EXPKEYSIG 0700205DFD41A71A devel OBS Project <devel@s2.owncloud.com>

Darf man das so posten?

Code: Alles auswählen

/etc/apt/trusted.gpg
--------------------
pub   rsa2048 2016-09-25 [SC] [verfallen: 2021-04-18]
      1B07 204C D71B 690D 409F  57D2 4ABE 1AC7 557B EFF9
uid        [ verfallen ] isv:ownCloud OBS Project <isv:ownCloud@build.opensuse.org>

pub   rsa4096 2016-02-21 [SC] [verfallen: 2020-12-06]
      F8E3 3472 5692 2A8A E767  605B 7808 CE96 D38B 9201
uid        [ verfallen ] Jean-Francois Dockes <jf@dockes.org>
uid        [ verfallen ] Jean-Francois Dockes <jfdockes@gmail.com>

pub   rsa4096 2016-04-22 [SC]
      B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
uid        [ unbekannt ] Oracle Corporation (VirtualBox archive signing key) <info@virtualbox.org>
sub   rsa4096 2016-04-22 [E]

pub   dsa1024 2010-05-18 [SC]
      7B0F AB3A 13B9 0743 5925  D9C9 5442 2A4B 98AB 5139
uid        [ unbekannt ] Oracle Corporation (VirtualBox archive signing key) <info@virtualbox.org>
sub   elg2048 2010-05-18 [E]

pub   rsa4096 2018-10-09 [SC]
      1302 DE60 2318 89FE 1EBA  CADC 5467 8CF7 5A27 8D9C
uid        [ unbekannt ] Pavlo Rudyi <paulcarroty@riseup.net>
sub   rsa4096 2018-10-09 [E]

pub   rsa4096 2017-03-13 [SC]
      8CAE 012E BFAC 38B1 7A93  7CD8 C5E2 2450 0C12 89C0
uid        [ unbekannt ] TeamViewer GmbH (TeamViewer Linux 2017) <support@teamviewer.com>
sub   rsa4096 2017-03-13 [E]

pub   rsa4096 2020-01-29 [SC]
      D2A5 FEB3 4881 60F0 28CC  1791 8DA8 4BE5 DEB4 9217
uid        [ unbekannt ] TeamViewer Germany GmbH (TeamViewer Linux 2020) <support@teamviewer.com>

pub   rsa2048 2013-08-26 [SC] [verfällt: 2023-08-23]
      DDA2 C105 C4B7 3A66 49AD  2BBD 47AE 7F72 479B C94B
uid        [ unbekannt ] ownCloud build service <obsrun@localhost>
sub   rsa2048 2013-08-26 [E] [verfällt: 2023-08-23]
sub   dsa2048 2013-08-26 [S] [verfällt: 2023-08-23]

pub   rsa2048 2015-09-28 [SC] [verfallen: 2022-12-02]
      06D7 EADE 708A 40FA 136E  B454 0700 205D FD41 A71A
uid        [ verfallen ] devel OBS Project <devel@s2.owncloud.com>

/etc/apt/trusted.gpg.d/debian-archive-bullseye-automatic.gpg
------------------------------------------------------------
pub   rsa4096 2021-01-17 [SC] [verfällt: 2029-01-15]
      1F89 983E 0081 FDE0 18F3  CC96 73A4 F27B 8DD4 7936
uid        [ unbekannt ] Debian Archive Automatic Signing Key (11/bullseye) <ftpmaster@debian.org>
sub   rsa4096 2021-01-17 [S] [verfällt: 2029-01-15]

/etc/apt/trusted.gpg.d/debian-archive-bullseye-security-automatic.gpg
---------------------------------------------------------------------
pub   rsa4096 2021-01-17 [SC] [verfällt: 2029-01-15]
      AC53 0D52 0F2F 3269 F5E9  8313 A484 4904 4AAD 5C5D
uid        [ unbekannt ] Debian Security Archive Automatic Signing Key (11/bullseye) <ftpmaster@debian.org>
sub   rsa4096 2021-01-17 [S] [verfällt: 2029-01-15]

/etc/apt/trusted.gpg.d/debian-archive-bullseye-stable.gpg
---------------------------------------------------------
pub   rsa4096 2021-02-13 [SC] [verfällt: 2029-02-11]
      A428 5295 FC7B 1A81 6000  62A9 605C 66F0 0D6C 9793
uid        [ unbekannt ] Debian Stable Release Key (11/bullseye) <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-buster-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2019-04-14 [SC] [verfällt: 2027-04-12]
      80D1 5823 B7FD 1561 F9F7  BCDD DC30 D7C2 3CBB ABEE
uid        [ unbekannt ] Debian Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>
sub   rsa4096 2019-04-14 [S] [verfällt: 2027-04-12]

/etc/apt/trusted.gpg.d/debian-archive-buster-security-automatic.gpg
-------------------------------------------------------------------
pub   rsa4096 2019-04-14 [SC] [verfällt: 2027-04-12]
      5E61 B217 265D A980 7A23  C5FF 4DFA B270 CAA9 6DFA
uid        [ unbekannt ] Debian Security Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>
sub   rsa4096 2019-04-14 [S] [verfällt: 2027-04-12]

/etc/apt/trusted.gpg.d/debian-archive-buster-stable.gpg
-------------------------------------------------------
pub   rsa4096 2019-02-05 [SC] [verfällt: 2027-02-03]
      6D33 866E DD8F FA41 C014  3AED DCC9 EFBF 77E1 1517
uid        [ unbekannt ] Debian Stable Release Key (10/buster) <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-stretch-automatic.gpg
-----------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [verfällt: 2025-05-20]
      E1CF 20DD FFE4 B89E 8026  58F1 E0B1 1894 F66A EC98
uid        [ unbekannt ] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [verfällt: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-security-automatic.gpg
--------------------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [verfällt: 2025-05-20]
      6ED6 F5CB 5FA6 FB2F 460A  E88E EDA0 D238 8AE2 2BA9
uid        [ unbekannt ] Debian Security Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [verfällt: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-stable.gpg
--------------------------------------------------------
pub   rsa4096 2017-05-20 [SC] [verfällt: 2025-05-18]
      067E 3C45 6BAE 240A CEE8  8F6F EF0F 382A 1A7B 6500
uid        [ unbekannt ] Debian Stable Release Key (9/stretch) <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/isv_ownCloud_server_10.gpg
-------------------------------------------------
pub   rsa2048 2015-09-28 [SC] [verfallen: 2022-12-02]
      06D7 EADE 708A 40FA 136E  B454 0700 205D FD41 A71A
uid        [ verfallen ] devel OBS Project <devel@s2.owncloud.com>

/etc/apt/trusted.gpg.d/mendeleydesktop.gpg
------------------------------------------
pub   rsa2048 2011-02-21 [SC]
      26BB 0219 1EF4 588D 3A7B  C30F D800 C7D6 6F03 6044
uid        [ unbekannt ] Mendeley Desktop Team <desktop@mendeley.com>
sub   rsa2048 2011-02-21 [E]

/etc/apt/trusted.gpg.d/vscodium-archive-keyring.gpg
---------------------------------------------------
pub   rsa4096 2018-10-09 [SC]
      1302 DE60 2318 89FE 1EBA  CADC 5467 8CF7 5A27 8D9C
uid        [ unbekannt ] Pavlo Rudyi <paulcarroty@riseup.net>
sub   rsa4096 2018-10-09 [E]

[JTH]

Darf man das so posten?

Code: Alles auswählen

/etc/apt/trusted.gpg
[…]

Das sollte okay sein. Das sind ja schließlich alles öffentliche Schlüssel, die sowieso alle an anderer Stelle offen verfügbar sein müssen.

Derzeit lautet die Fehlermeldung von apt update:

Code: Alles auswählen

Die folgenden Signaturen waren ungültig: EXPKEYSIG 0700205DFD41A71A devel OBS Project <devel@s2.owncloud.com>

Die apt-key list-Ausgabe verrät, dass der bemängelte Schlüssel abgelaufen ist und in /etc/apt/trusted.gpg.d liegt:

Code: Alles auswählen

/etc/apt/trusted.gpg.d/isv_ownCloud_server_10.gpg
-------------------------------------------------
pub   rsa2048 2015-09-28 [SC] [verfallen: 2022-12-02]
      06D7 EADE 708A 40FA 136E  B454 0700 205D FD41 A71A
uid        [ verfallen ] devel OBS Project <devel@s2.owncloud.com>

Hier ist die Schlüsselsignatur mit Leerzeichen dargestellt. Die Datei kannst du also wohl löschen.

Du hast noch mehrere abgelaufene Schlüssel in der /etc/apt/trusted.gpg – das ist die Datei, die von und mit apt-key verwaltet wird. Die abgelaufenen Schlüssel kannst du daraus löschen. Als Beispiel für den ersten aufgeführten abgelaufenen:

Code: Alles auswählen

apt-key del "1B07 204C D71B 690D 409F  57D2 4ABE 1AC7 557B EFF9"

Die Schlüsseldatei (*.key?) liegt ja in dem Repo Verzeichnis drin und habe ich ja schon mehrfach per curl/wget gezogen. Das scheint entweder nicht zu reichen, oder es gibt eben einen anderen Faktor der stört.

Das ist immerhin ein schonmal ein ASCII-armored Schlüssel. Könnte also passen. Vielleicht musst du einfach die Dateiendung zu .asc ändern? Die Manpage zu apt-key sagt nämlich:

Make sure to use the "asc" extension for ASCII armored keys and the "gpg" extension for the binary OpenPGP format (also known as "GPG key public ring").

[buhtz]

OK, das delete funktioniert soweit.

Dann habe ich die Release.key per wget runtergeladen und in ownCloud.asc umbenannt.

Jetzt zeigt mir "apt-key list" den Schlüssel als abgelaufen.

Code: Alles auswählen

/etc/apt/trusted.gpg.d/ownCloud.asc
-----------------------------------
pub   rsa2048 2015-09-28 [SC] [verfallen: 2022-12-02]
      06D7 EADE 708A 40FA 136E  B454 0700 205D FD41 A71A
uid        [ verfallen ] devel OBS Project <devel@s2.owncloud.com>

Bringt also nix den zu installieren, weil er abgelaufen ist. Ein Problem Seitens der ownCloud Leute?

Der "Support" kenne ich bereits und will da keine Zeit verschwenden. Kann man die Signatur-Prüfung für so ein Repo unterdrücken?

[JTH]

Bringt also nix den zu installieren, weil er abgelaufen ist. Ein Problem Seitens der ownCloud Leute?

Wenn du dir die Signatur anguckst, ist das wieder genau der gleiche Schlüssel, den du gerade gelöscht hast. Vielleicht ist diese ältere Version von Owncloud einfach nicht mehr unterstützt und das Repo hat deshalb auch keine Notwendigkeit für einen gültigen Schlüssel mehr?

Kann man die Signatur-Prüfung für so ein Repo unterdrücken?

Klar. Häng ein

Code: Alles auswählen

 [ trusted=yes ] 

zwischen das deb und die URL in der sources.list. Die Leerzeichen innerhalb der Klammen sind, meine ich, wichtig.

Code: Alles auswählen

deb [ trusted=yes ] https://download.owncloud.com/…