Я пытаюсь создать свое собственное ядро с помощью автоматизированного процесса, и я хотел бы удостовериться, что мои исходные пакеты проверяются. Когда я иду для установки исходного пакета, я видел ошибки, подобные этому:
gpgv: Signature made Fri Jan 6 17:10:11 2017 UTC using RSA key ID FDCE24FC
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux-meta_4.4.0.59.62.dsc
dpkg-source: info: extracting linux-meta in linux-meta-4.4.0.59.62
dpkg-source: info: unpacking linux-meta_4.4.0.59.62.tar.gz
Я видел эту ошибку прежде, но не нашел идеальное обходное решение для нее. Когда я ищу, это включает keyservers, я вижу следующее:
$ gpg --keyserver keyserver.ubuntu.com --search FDCE24FC
gpg: searching for "FDCE24FC" from hkp server keyserver.ubuntu.com
(1) Luis Henriques <lhenriques@suse.de>
Luis Henriques <henrix@camandro.org>
Luis Henriques <lhenriques@suse.com>
Luis Henriques <luis.henriques@canonical.com>
4096 bit RSA key FDCE24FC, created: 2011-12-10
(2) Luis Henriques <luis.henriques@canonical.com>
4096 bit RSA key FDCE24FC, created: 2014-06-16 (revoked)
Это - чей-то персональный ключ, а не ожидаемый восходящий общий ключ подписи выпуска.
Существует ли способ выбрать все исходные ключи специалистов по обслуживанию пакета в способный брелок для ключей? Я хотел бы иметь некоторую проверку на том, является ли мой исходный пакет не вмешавшимся допустимым - с исходным пакетом.
Канонический поддерживают пакет, который содержит ключи всех восходящих пользователей PGP? Существует ли automatable решение этого? Так как эти файлы, вероятно, передаются HTTP, у меня нет гарантий относительно истинного источника их, и это довольно важно при контакте с пакетами ядра.