Réussir la vérification des signatures des fichiers sources des paquets AUR

Rédigé par Thomas Duchesne - - aucun commentaire

Certains paquets de AUR nécessitent que les signatures dis fichiers sources soient vérifiées à l’aide d’une CLÉ PGP. Il peut arriver que cette vérification échoue car la clé donnée par le paquet téléchargé soit inconnue du système. Lorsque cela arrive, la commande makepkg -s l’indique d’une manière peu claire :

==> Vérification des signatures des fichiers sources grâce à gpg...
    ncurses-6.0.tar.gz ... ÉCHEC (Clef publique inconnue 702353E0F7E48EDB)
==> ERREUR : Une ou plusieurs signatures PGP n’ont pas pu être vérifiées.

L’exemple ci-dessus est issu d’une tentative de construction du paquet ncurses5-compat-libs, ce qui a motivé l’écriture de cet article.

Pour que le paquet puisse être fabriqué, il faut faire reconnaître la clé au système. Pour cela, il faut avoir tout d’abord avoir installé GPG. Ensuite, il faut visualiser les informations relative à la clé problématique en utilisant la commande gpg --recv-keys :

$ gpg --recv-keys 702353E0F7E48EDB
gpg: clef F7E48EDB : « Thomas Dickey <dickey@invisible-island.net> » n'est pas modifiée
gpg:       Quantité totale traitée : 1
gpg:                 non modifiées : 1

Si (et seulement si) vous avez confiance en le propriétaire de la clé, validez la avec la commande gpg --lsign :

$ gpg --lsign 702353E0F7E48EDB
pub  dsa1024/F7E48EDB
     créé : 2004-01-05  expire : jamais      utilisation : SC  
     confiance : inconnu       validité : inconnu
sub  elg1024/E4374AE1
     créé : 2004-01-05  expire : jamais      utilisation : E   
[ inconnue] (1). Thomas Dickey <dickey@invisible-island.net>

gpg: no default secret key: Pas de clef secrète

La clef n'a pas été modifiée donc la mise à jour est inutile.

Le message ci-dessus vous indique que la clé a bien été importée et vous pouvez relancer la construction du paquet.

Écrire un commentaire

Quelle est la dernière lettre du mot regtw ?