Wenn man die Meldung erhält, dass die Signaturen eines Repositories ungültig sind, insbesondere mit einer Meldung wie "EXPKEYSIG", bedeutet das, dass der zugehörige GPG-Schlüssel abgelaufen oder nicht mehr gültig ist. In diesem Fall muss man den Schlüssel erneuern. Hier ist, wie man das zum Beispiel für das Tor-Projekt-Repository und allgemein für andere Repositories auf Debian-basierten Systemen macht.
Zuerst muss der neue Schlüssel für das entsprechende Repository importiert werden. Für das Tor-Projekt könnte das wie folgt geschehen:
Alten Schlüssel löschen (optional):
Den alten Schlüssel kann man löschen, falls man sicher ist, dass man ihn nicht mehr benötigt:
sudo apt-key del 74A941BA219EC810
Neuen Schlüssel herunterladen und importieren:
Tor stellt einen neuen GPG-Schlüssel zur Verfügung, den man herunterladen und importieren kann:
curl deb.torproject.org/torproject.org/DEB.GPG-KEY-torproject.org.asc | sudo gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
Repository-Eintrag anpassen (optional):
Falls Sie ein spezielles sources.list
-Datei-Format verwenden, müssen Sie eventuell den Pfad zur neuen Schlüsseldatei angeben. Zum Beispiel:
deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] deb.torproject.org/torproject.org bookworm main
Der genaue Pfad und die Distribution (bullseye
, bookworm
etc.) müssen entsprechend Ihrem System angepasst werden.
Nachdem der neue Schlüssel hinzugefügt wurde, sollten Sie die Paketlisten aktualisieren:
sudo apt-get update
Nach dem Update sollte die Fehlermeldung verschwunden sein, und man kann sicherstellen, dass alle Pakete mit den neuen Signaturen korrekt verifiziert werden.
Für andere Repositories, bei denen ähnliche Fehlermeldungen auftreten:
Schlüsselsuche: Schauen Sie auf der offiziellen Webseite des Repositories nach Informationen über den neuen GPG-Schlüssel oder aktualisieren den Schlüssel, falls der Anbieter einen veröffentlicht hat.
Schlüssel importieren: Verwenden Sie den entsprechenden Befehl, um den neuen Schlüssel zu importieren, oft über apt-key
oder gpg
:
wget -qO - example.com/repo.gpg | sudo apt-key add -
Paketlisten aktualisieren: Führen Sie erneut sudo apt-get update
aus, um sicherzustellen, dass die neuen Signaturen korrekt erkannt werden.
Indem Sie diese Schritte befolgen, können Sie sicherstellen, dass Ihrfe Repository-Signaturen aktuell bleiben und keine Sicherheitsrisiken bestehen.