"Key is stored in legacy trusted.gpg keyring"

[korda]

...comunque è sempre bene ricordare che quando aggiungiamo un repository o ppa stiamo dando grazie alla chiave, accesso completo al sistema a qualcuno.

Che c'entra??? La chiave pubblica, come menziona @frapox è collegata alla verifica del pacchetto da installare (non "punta", va bene così?!). Non è condizione necessaria e obbligata per portare a termine una (qualsiasi) installazione di software (con tutti i possibili potenziali privilegi di accesso al sistema), anche se dovesse essere considerata una prassi.

[korda]

Wait a minute...

Ora che ho fatto un check di tutto vedo che ci sono questi "residui"

/etc/apt/trusted.gpg.d/ubuntu-keyring-2012-cdimage.gpg
------------------------------------------------------
pub rsa4096 2012-05-11 [SC]
8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
uid [ sconosciuto] Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

/etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg
------------------------------------------------------
pub rsa4096 2018-09-17 [SC]
F6EC B376 2474 EDA9 D21B 7022 8719 20D1 991B C93C
uid [ sconosciuto] Ubuntu Archive Automatic Signing Key (2018) <ftpmaster@ubuntu.com>

Come ci sono finiti in un installazione pulita (no do-release-upgrade intendo) del mio Kubuntu 22.04???
Se li rimuovessi otterrei questo:

Codice: Seleziona tutto

Ignorato:1 http://linux.dropbox.com/ubuntu disco InRelease
Trovato:2 https://linux.teamviewer.com/deb stable InRelease                                                                                                                     
Trovato:3 http://linux.dropbox.com/ubuntu disco Release                                                                                                                         
Trovato:4 https://dl.google.com/linux/chrome/deb stable InRelease                                                                                                               
Trovato:6 http://it.archive.ubuntu.com/ubuntu jammy InRelease                               
Trovato:7 http://security.ubuntu.com/ubuntu jammy-security InRelease                        
Trovato:8 https://download.virtualbox.org/virtualbox/debian jammy InRelease
Trovato:9 http://it.archive.ubuntu.com/ubuntu jammy-updates InRelease
Errore:6 http://it.archive.ubuntu.com/ubuntu jammy InRelease
  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
Trovato:10 http://it.archive.ubuntu.com/ubuntu jammy-backports InRelease
Errore:7 http://security.ubuntu.com/ubuntu jammy-security InRelease
  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
Errore:9 http://it.archive.ubuntu.com/ubuntu jammy-updates InRelease
  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
Errore:10 http://it.archive.ubuntu.com/ubuntu jammy-backports InRelease
  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
Lettura elenco dei pacchetti... Fatto
W: Si è verificato un errore nel verificare la firma. Il repository non è aggiornato e verranno usati i file indice precedenti. Errore GPG: http://it.archive.ubuntu.com/ubuntu jammy InRelease: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Si è verificato un errore nel verificare la firma. Il repository non è aggiornato e verranno usati i file indice precedenti. Errore GPG: http://security.ubuntu.com/ubuntu jammy-security InRelease: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Si è verificato un errore nel verificare la firma. Il repository non è aggiornato e verranno usati i file indice precedenti. Errore GPG: http://it.archive.ubuntu.com/ubuntu jammy-updates InRelease: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Si è verificato un errore nel verificare la firma. Il repository non è aggiornato e verranno usati i file indice precedenti. Errore GPG: http://it.archive.ubuntu.com/ubuntu jammy-backports InRelease: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Impossibile recuperare http://it.archive.ubuntu.com/ubuntu/dists/jammy/InRelease  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Impossibile recuperare http://it.archive.ubuntu.com/ubuntu/dists/jammy-updates/InRelease  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Impossibile recuperare http://it.archive.ubuntu.com/ubuntu/dists/jammy-backports/InRelease  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Impossibile recuperare http://security.ubuntu.com/ubuntu/dists/jammy-security/InRelease  Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 871920D1991BC93C
W: Impossibile scaricare alcuni file di indice: saranno ignorati o verranno usati quelli vecchi.

Devo spostare anch'essi in /etc/apt/keyrings ed editare direttamente sources.list con il signed by? (questa cosa mi suona strana su repo non terzi...)

[woddy68]

...comunque è sempre bene ricordare che quando aggiungiamo un repository o ppa stiamo dando grazie alla chiave, accesso completo al sistema a qualcuno.

Che c'entra??? La chiave pubblica, come menziona @frapox è collegata alla verifica del pacchetto da installare (non "punta", va bene così?!). Non è condizione necessaria e obbligata per portare a termine una (qualsiasi) installazione di software (con tutti i possibili potenziali privilegi di accesso al sistema), anche se dovesse essere considerata una prassi.

Non intendevo quello, intendevo il fatto che un repository esterno abilitato è una porta aperta del sistema, quindi è sempre bene considerarne l'affidabilità. Per esempio non sarebbe difficile per un software via ppa aggiungere come dipendenza un malware, però si...non c'entra nulla con la discussione.

[wilecoyote]

) Salve, @korda devi spostarli in /usr/share/keyrings, dove dovrebbero già esserci però, verificalo.

Per spostarli/rimuoverli leggi questa wiki Repository/GestioneRepositoryTerzeParti.

:: Ciao

[korda]

) Salve, @korda devi spostarli in /usr/share/keyrings, dove dovrebbero già esserci però, verificalo.

Per spostarli/rimuoverli leggi questa wiki Repository/GestioneRepositoryTerzeParti.

:: Ciao

Non avrei problemi a farlo assolutamente. Il punto è: perché ciò accade pure sui repo ufficiali da un'installazione diretta dell'OS se tu stesso hai affermato che... ???

) Salve, facciamo ordine in questa giaculatoria sul apt-key, che è meglio.

Si potrebbe trovare una soluzione definitiva oppure bisogna farsi la sbatta di applicare questa patch ogni volta che si vuole aggiungere un ppa esterno?

Falso, nessun ppa è afflitto da questo problema.

(grazie anticipatamente a chi possa chiarirmi la questione)

[frapox]

) Salve, @korda devi spostarli in /usr/share/keyrings, dove dovrebbero già esserci però, verificalo.

Per spostarli/rimuoverli leggi questa wiki Repository/GestioneRepositoryTerzeParti.

:: Ciao

Non avrei problemi a farlo assolutamente. Il punto è: perché ciò accade pure sui repo ufficiali da un'installazione diretta dell'OS se tu stesso hai affermato che... ???

Il punto è che le indicazioni che ti sono state date sono sbagliate(*), perché quelle sono le chiavi principali per la verifica degli archivi (e dei CD) e ottengono la massima fiducia a prescindere, quindi se levi da lì ottieni la raffica di errori che hai evidenziato sopra.

Del resto per quale motivo Canonical dovrebbe mandare in giro delle ISO con le sue chiavi in un posto sbagliato, non si capisce...

Spoiler

Mostra

(*) ed è oltremodo grave che chi dia queste indicazioni palesemente errate sia uno che mette mano regolarmente alla wiki, ma io le mie segnalazioni a chi di dovere le ho fatte in più occasioni ma a quanto pare sta bene così.

[wilecoyote]

) Salve, @korda mi riferivo alle chiavi mostrate nel quote, in Jammy col depretamento del apt-key le chiavi ufficiali del sistema dovrebbero essere in /usr/share/keyrings, quelle dei repository terzi in /etc/apt/keyrings e quelle dei ppa in /etc/apt/trusted.gpg.d.

Poi si trovano casotti folli a causa sia di avanzamenti di versione, sia di mantenitori indipendenti che ne fanno di cotte e di crude.

Per risolvere la tua problematica leggi questa wiki AmministrazioneSistema/Aggiornamenti/RisoluzioneProblemi#Chiave_pubblica_non_disponibile.

:: Ciao

[korda]

Che dire?! Vi ringrazio dei chiarimenti, in un modo o nell'altro ho imparato qualcosa di nuovo.

Poi boh... la suddivisione in queste tre categorie (non conoscendone pienamente le motivazioni) mi da' più una sensazione di connotazione politica che di necessità squisitamente tecnica. Sicuramente mi sto sbagliando, approfondirò l'argomento...

Grazie del vostro contributo, comunque.

[frapox]

Questo è quello che riporta la documentazione di man 5 sources.list:

The recommended locations for keyrings are /usr/share/keyrings for keyrings
managed by packages, and /etc/apt/keyrings for keyrings managed by the system operator. If no
keyring files are specified the default is the trusted.gpg keyring and all keyrings in the
trusted.gpg.d/ directory (see apt-key fingerprint)

(cercare "Signed-By").

[wilecoyote]

) Salve, m'almeno seguendo la wiki l'hai risolto l'inghippo della chiave_pubblica_non_disponibile ?

:: Ciao

[korda]

) Salve, m'almeno seguendo la wiki l'hai risolto l'inghippo della chiave_pubblica_non_disponibile ?

:: Ciao

Avevo già risolto tempo fa, e non avevo attinto dalle wiki. Qui ho semplicemente segnalato la cosa, e verificato che le chiavi fossero memorizzate nei percorsi corretti, indicati in questa discussione. Questo per quanto riguarda le chiavi di repo terzi.

L'inghippo della chiave_pubblica_non_disponibile (relativo specificamente alle chiavi di Canonical) non era un problema, era solo una prova. E no, non ho seguito il tuo consiglio, ma ho lasciato le chiavi dove stavano (in /etc/apt/trusted.gpg.d) come indicato nei post precedenti.

Edit: mi mancherebbe solo da verificare una stranezza con Chrome, che avevo installato come pacchetto deb. Ho spostato la chiave in /etc/apt/keyrings ed editato il file list con l'opzione signed-by. Tutto sembrava funzionare correttamente ma...

...ma con l'aggiornamento di ieri sembra che il file .list sia stato rieditato e la chiave nuovamente pescata da /etc/apt/trusted.gpg.d. D'altra parte, nel file .list di Chrome c'è un commento che dice di non toccare quel file, che tanto viene aggiornato automaticamente.

[xavier77]

@korda

1. Quell'articolo sul blog Marco's Box mi fece venire un colpo, perché dalle documentazioni consultate e dall'esperienza pratica ci risultava che i PPA launchpad non erano coinvolti dalla questione del deprecamento di apt-key. Da ulteriori verifiche sembrerebbe che non ci sbagliavamo. Almeno così risulta al momento. Il tutto è nato perché l'autore stava usando una beta?
2. Se vuoi approfondire ti consiglio un altro articolo su itsfoss.com. Puoi trovare il link nella discussione di riferimento alla pagina wiki (lo sto spammando e messo addirittura nella guida perché è uno dei più esaustivi che abbia mai trovato sull'argomento).
3. Purtroppo la situazione attuale è variegata, anzi diciamo pure incasinata: molti programmi si sono adeguati dando istruzioni aggiornate (ad esempio VirtualBox di Oracle); altri no (ad esempio TeamViewer); molti di quelli che distribuiscono il classico pacchetto .deb non si sono adeguati; ecc. ecc. Spero che col tempo si arrivi ad una standardizzazione, anche solo parziale...

[korda]

3. Purtroppo la situazione attuale è variegata, anzi diciamo pure incasinata: molti programmi si sono adeguati dando istruzioni aggiornate (ad esempio VirtualBox di Oracle); altri no (ad esempio TeamViewer); molti di quelli che distribuiscono il classico pacchetto .deb non si sono adeguati; ecc. ecc. Spero che col tempo si arrivi ad una standardizzazione, anche solo parziale...

...e qui credo che partano altre considerazioni. Se da una parte si cerca di forzare/puntare la pacchettizzazione via snap o flatpack, dubito che dalla controparte ci sia particolare pressione a voler uniformare i pacchetti deb (non so come funzioni su rpm, se ci siano problematiche analoghe). Per dire, non saprei quanto Debian possa esercitare influenza rispetto al Canonical o RedHat di turno. Credo che il col tempo sia un'espressione a luuungo termine.