Re: błąd "signature verification failed" podczas instalacji pakietów
On 17.03.2023 10:41, Adam Osuchowski wrote: Arkadiusz Miśkiewicz via pld-devel-pl wrote: Zrobione w main. Dzięki wielkie, jest zdecydowanie lepiej. Przy okazji jeszcze pytanie, czy można by było zmienić klucze PGP do podpisywania paczek na bardziej współczesne? Obecne są sprzed 15 lat i mają trochę stare parametry (1024-bitowe DSA i RSA). Poza tym, klucz RSA chyba w ogóle nie jest używany, bo z tego co widzę, to chyba wszystkie paczki są podpisane kluczem DSA. Można. Kwestia tylko małego zaplanowania co gdzie pozmieniać (infrastruktura, paczki z tym kluczem, strona www), procedura przejścia itd. Przetestować czy się rpmowi/poldkowi będzie podobało. Jak chcesz się tym zająć to śmiało. -- Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org ) ___ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
Re: błąd "signature verification failed" podczas instalacji pakietów
Arkadiusz Miśkiewicz via pld-devel-pl wrote: > Zrobione w main. Dzięki wielkie, jest zdecydowanie lepiej. Przy okazji jeszcze pytanie, czy można by było zmienić klucze PGP do podpisywania paczek na bardziej współczesne? Obecne są sprzed 15 lat i mają trochę stare parametry (1024-bitowe DSA i RSA). Poza tym, klucz RSA chyba w ogóle nie jest używany, bo z tego co widzę, to chyba wszystkie paczki są podpisane kluczem DSA. ___ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
Re: błąd "signature verification failed" podczas instalacji pakietów
On 12.03.2023 20:20, Adam Osuchowski wrote: Można liczyć na przeprowadzenie takiej masowej operacji w repozytorium? Zrobione w main. -- Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org ) ___ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
Re: błąd "signature verification failed" podczas instalacji pakietów
Arkadiusz Miśkiewicz via pld-devel-pl wrote: > Jako brzydki workaround spróbuj odinstalować nasz klucz gpg, bodaj: > > rpm -q gpg-pubkey > rpm --erase --allmatches gpg-pubkey-xyz No właśnie, on jest brzydki. Równie dobrze mogę ustawić poldkowi signed=off a w /usr/lib/poldek/pm-command.sh dodać rpmowi --nosignature. Tylko to chyba nie tędy droga, żeby pozbywać się podpisów pakietów i ich weryfikacji. Z tego co sprawdziłem to ok. 1/3 pakietów w repozytorium nie ma prawidłowo weryfikowalnej sygnatury, więc dość sporo, a ostatni taki ze starym podpisem jest z 22 lutego 2021 r. Jak się też okazuje, można to łatwo naprawić przez `rpm --delsign' / `rpm --addsign', bez konieczności rebuilda całego pakietu. Można liczyć na przeprowadzenie takiej masowej operacji w repozytorium? ___ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
Re: błąd "signature verification failed" podczas instalacji pakietów
On 5.03.2023 18:46, Adam Osuchowski wrote: Od jakiegoś czasu nie da się zainstalować starych pakietów z repozytorium (tj. takich zbudowanych 2-3 lata temu albo dawniej). Problem dotyczy wielu różnych pakietów, ale ich wspólną cechą chyba jest właśnie wiek. Poldek krzyczy, że "signature verification failed", ale co ciekawe, pozwala pobrać taką paczkę. Jako brzydki workaround spróbuj odinstalować nasz klucz gpg, bodaj: rpm -q gpg-pubkey rpm --erase --allmatches gpg-pubkey-xyz -- Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org ) ___ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
błąd "signature verification failed" podczas instalacji pakietów
Od jakiegoś czasu nie da się zainstalować starych pakietów z repozytorium (tj. takich zbudowanych 2-3 lata temu albo dawniej). Problem dotyczy wielu różnych pakietów, ale ich wspólną cechą chyba jest właśnie wiek. Poldek krzyczy, że "signature verification failed", ale co ciekawe, pozwala pobrać taką paczkę. poldek:/all-avail> install --force filesystem-4.1-15.x86_64 Processing dependencies... filesystem-4.1-15.x86_64 obsoleted by filesystem-4.1-15.x86_64 There are 1 package to install, 1 to remove: U filesystem-4.1-15.x86_64 filesystem-4.1-15.x86_64.rpm: digests OK Need to get 33.0KB of archives. filesystem-4.1-15.x86_64.rpm: digests OK filesystem-4.1-15.x86_64.rpm: DIGESTS SIGNATURES NOT OK error: filesystem-4.1-15: signature verification failed There were signature verification errors. Proceed? [N/y] n There were errors poldek:/all-avail> get filesystem-4.1-15.x86_64 th::filesystem-4.1-15.x86_64.rpm [33.0K (33.0K/s)] filesystem-4.1-15.x86_64.rpm: digests OK rpmowi też się to nie podoba: root@pld:~# rpm -Uvh --force filesystem-4.1-15.x86_64.rpm Verifying... # [100%] Preparing... # [100%] package filesystem-4.1-15.x86_64 does not verify: no digest Wygląda na to, że nie podoba mu się brak sygnatury SHA256: root@pld:~# rpm -K filesystem-4.1-15.x86_64.rpm filesystem-4.1-15.x86_64.rpm: DIGESTS SIGNATURES NOT OK root@pld:~# rpm -Kvv filesystem-4.1-15.x86_64.rpm D: loading keyring from rpmdb D: PRAGMA secure_delete = OFF: 0 D: PRAGMA case_sensitive_like = ON: 0 D: read h# 2 Header sanity check: OK D: added key gpg-pubkey-e64e7bf7-47b35206 to keyring D: read h# 3 Header sanity check: OK D: added key gpg-pubkey-e4f1bc2d-47b351f0 to keyring filesystem-4.1-15.x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID e4f1bc2d: OK Header SHA1 digest: OK Payload SHA256 digest: NOTFOUND Payload SHA256 ALT digest: NOTFOUND RSA signature: NOTFOUND DSA signature: NOTFOUND MD5 digest: OK bo dla nowszych pakietów, które już ją mają, nie krzyczy: root@pld:~# rpm -K bash-5.2.15-1.x86_64.rpm bash-5.2.15-1.x86_64.rpm: digests signatures OK root@pld:~# rpm -Kvv bash-5.2.15-1.x86_64.rpm D: loading keyring from rpmdb D: PRAGMA secure_delete = OFF: 0 D: PRAGMA case_sensitive_like = ON: 0 D: read h# 2 Header sanity check: OK D: added key gpg-pubkey-e64e7bf7-47b35206 to keyring D: read h# 3 Header sanity check: OK D: added key gpg-pubkey-e4f1bc2d-47b351f0 to keyring bash-5.2.15-1.x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID e4f1bc2d: OK Header SHA256 digest: OK Header SHA1 digest: OK Payload SHA256 digest: OK MD5 digest: OK Jak się domyślam, to pewnie jest efekt uboczny przejścia z rpm5 na rpm4. Czy można prosić w związku z tym o przebudowanie możliwie jak największej liczby paczek, których aktualne wersje z repozytorium zostały zbudowane 2 września 2020 r. lub wcześniej (to była najpóźniejsza data budowy paczki, którą znalazłem, że ma ten problem)? Trochę utrudnia to instalację, jako że poldek nie ma opcji ignorowania podpisów podczas instalacji (czego zresztą nie chciałbym i tak robić). Zdaję sobie sprawę, że może być problem z budową jakichś starych paczek sprzed lat, bo mogą się np. już nie kompilować, ale może chociaż dałoby się spaczkować jeszcze raz same rpmy, albo tylko je podpisać po nowemu, bez zmiany samych plików ze środka? Alternatywnie zostaje zapatchować rpma i/lub poldka, żeby nie zwracał uwagi na brak sygnatury SHA256 jeżeli SHA1 weryfikuje się poprawnie. Z góry dzięki. ___ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl