LINUXMAKER, OpenSource, Tutorials

Die folgenden Signaturen waren ungültig: EXPKEYSIG 74A9...

Wenn man die Meldung erhält, dass die Signaturen eines Repositories ungültig sind, insbesondere mit einer Meldung wie "EXPKEYSIG", bedeutet das, dass der zugehörige GPG-Schlüssel abgelaufen oder nicht mehr gültig ist. In diesem Fall muss man den Schlüssel erneuern. Hier ist, wie man das zum Beispiel für das Tor-Projekt-Repository und allgemein für andere Repositories auf Debian-basierten Systemen macht.

Schritt 1: Neuen Schlüssel importieren

Zuerst muss der neue Schlüssel für das entsprechende Repository importiert werden. Für das Tor-Projekt könnte das wie folgt geschehen:

  1. Alten Schlüssel löschen (optional):

    Den alten Schlüssel kann man löschen, falls man sicher ist, dass man ihn nicht mehr benötigt:

    sudo apt-key del 74A941BA219EC810

  2. Neuen Schlüssel herunterladen und importieren:

    Tor stellt einen neuen GPG-Schlüssel zur Verfügung, den man herunterladen und importieren kann:

    curl deb.torproject.org/torproject.org/DEB.GPG-KEY-torproject.org.asc | sudo gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg

  3. Repository-Eintrag anpassen (optional):

    Falls Sie ein spezielles sources.list-Datei-Format verwenden, müssen Sie eventuell den Pfad zur neuen Schlüsseldatei angeben. Zum Beispiel:

    deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] deb.torproject.org/torproject.org bookworm main

    Der genaue Pfad und die Distribution (bullseye, bookworm etc.) müssen entsprechend Ihrem System angepasst werden.

Schritt 2: Paketlisten aktualisieren

Nachdem der neue Schlüssel hinzugefügt wurde, sollten Sie die Paketlisten aktualisieren:

sudo apt-get update

Schritt 3: Überprüfen und installieren

Nach dem Update sollte die Fehlermeldung verschwunden sein, und man kann sicherstellen, dass alle Pakete mit den neuen Signaturen korrekt verifiziert werden.

Allgemeine Anleitung für andere Repositories:

Für andere Repositories, bei denen ähnliche Fehlermeldungen auftreten:

  1. Schlüsselsuche: Schauen Sie auf der offiziellen Webseite des Repositories nach Informationen über den neuen GPG-Schlüssel oder aktualisieren den Schlüssel, falls der Anbieter einen veröffentlicht hat.

  2. Schlüssel importieren: Verwenden Sie den entsprechenden Befehl, um den neuen Schlüssel zu importieren, oft über apt-key oder gpg:

    wget -qO - example.com/repo.gpg | sudo apt-key add -

  3. Paketlisten aktualisieren: Führen Sie erneut sudo apt-get update aus, um sicherzustellen, dass die neuen Signaturen korrekt erkannt werden.

Indem Sie diese Schritte befolgen, können Sie sicherstellen, dass Ihrfe Repository-Signaturen aktuell bleiben und keine Sicherheitsrisiken bestehen.