Команда Devuan просрочила основной ключ подписи репозиториев
Ключ, которым подписываются все системные обновления, выпущенный в 2017 году, был действителен до 2 сентября 2022 года. Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt в связи с отсутствием действительного ключа. Разработчики дистрибутива, судя по всему, узнали о просрочке из жалобы на форуме и сгенерировали новый пакет devuan-keyring, который предлагают скачать через http (поскольку apt неработоспособен) и без каких-либо проверок сразу установить.
wget http://deb.devuan.org/devuan/pool/main/d/devuan-keyring/devuan-keyring_2022.09.04_all.deb
dpkg -i devuan-keyring_2022.09.04_all.deb
Впрочем, какую-никакую проверку провести всё-таки можно, на странице пакета (по https) указан sha256-хэш deb-файла: 96c4a206e8dfdc21138ec619687ef9acf36e1524dd39190c040164f37cc3468d, который можно сравнить так:
sha256sum devuan-keyring_2022.09.04_all.deb
перед тем как запускать dpkg -i
.
Старый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2017-archive.gpg
------------------------------------------------------
pub rsa4096 2017-09-04 [SC] [просрочен с: 2022-09-03]
E032 601B 7CA1 0BC3 EA53 FA81 BB23 C00C 61FC 752C
uid [ просрочен ] Devuan Repository (Amprolla3 on Nemesis)
Новый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2022-archive.gpg
------------------------------------------------------
pub rsa4096 2017-09-04 [SC] [ годен до: 2023-09-03]
E032 601B 7CA1 0BC3 EA53 FA81 BB23 C00C 61FC 752C
uid [ неизвестно ] Devuan Repository (Amprolla3 on Nemesis)
sub rsa4096 2017-09-04 [E] [ годен до: 2023-09-03]
Несмотря на то, что, по-видимому, новый ключ легитимен, стоит отметить, что цепочка безопасного доверия ключей прервана, и пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных, в доверенном списке браузера.
>>> Подробности