Ubuntu e gli errori di aggiornamento sono inseparabili. Di tanto in tanto incontro errori durante l'aggiornamento del sistema dopo l'aggiunta di una nuova fonte. L'altro giorno stavo cercando di installare l'ambiente desktop Mate quando ho ricevuto questo errore GPG durante l'aggiornamento del sistema:
W:Errore GPG:http://repo.mate-desktop.org impertinente InRelease:Impossibile verificare le seguenti firme perché la chiave pubblica non è disponibile:NO_PUBKEY 68980A0EA10B4DE8
Ecco uno screenshot dell'errore:
In questo rapido post ti mostrerò come correggere questo W:Errore GPG:Impossibile verificare le seguenti firme perché la chiave pubblica non è disponibile:NO errore. Spiegherò anche perché vedi questo errore in primo luogo e come la soluzione che ho citato risolve l'errore.
Correzione errore GPG:impossibile verificare le seguenti firme
L'errore indica che il tuo sistema non è in grado di identificare una determinata chiave pubblica GPG (PUBKEY). Quello che devi fare è recuperare questa chiave pubblica nel sistema.
Ottieni il numero della chiave dal messaggio di errore visualizzato sul tuo sistema. Nel messaggio precedente, la chiave non identificata è 68980A0EA10B4DE8. Sarà qualcosa di diverso per te.
Ora aggiungi questa chiave pubblica al tuo sistema Ubuntu usando il comando apt-key:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 68980A0EA10B4DE8Se vedi un messaggio di avviso sul comando apt-key deprecato, ignoralo.
Il comando precedente aggiungerà la chiave al sistema. Basta fare un sudo apt-get update e non dovresti più vedere questo errore.
Ora che sai come correggere questo errore, scopri perché si verifica questo errore e come è stato corretto.
Perché vedi questo errore?
Il gestore di pacchetti APT su Ubuntu e le distribuzioni basate su Debian utilizza un meccanismo di fiducia/sicurezza con GPG. Come SSH, anche GPG ha una coppia di chiavi pubblica-privata. La chiave pubblica è condivisa e la chiave privata è tenuta segreta.
Ogni repository, sia esso da Ubuntu stesso o un PPA o un repository di terze parti, è firmato con chiavi GPG dal suo sviluppatore. Quando aggiungi un repository al tuo sistema, la chiave GPG pubblica del suo sviluppatore viene aggiunta in chiavi GPG affidabili sul tuo sistema. Ciò garantisce che il tuo sistema Linux consideri attendibile i pacchetti provenienti dal repository.
Puoi vedere le chiavi GPG memorizzate sul tuo sistema usando questo comando:
apt-key list
Come puoi vedere nello screenshot qui sopra, alcune chiavi GPG hanno anche date di scadenza. Se lo sviluppatore non rinnova le sue chiavi o se lo sviluppatore cambia la chiave, il tuo sistema se ne lamenterà.
Ed è esattamente quello che è successo nell'errore nel mio caso. Probabilmente lo sviluppatore ha cambiato la chiave GPG e ha firmato il repository con la nuova chiave. Poiché questa nuova chiave pubblica non è stata aggiunta nella chiave GPG affidabile del sistema, Ubuntu non scarica i pacchetti da questo particolare repository e ti informa che non è stato possibile verificare la chiave menzionata.
Fin qui tutto bene? Ora, per risolvere il problema, quello che hai fatto è stato aggiungere la nuova chiave non verificata alla chiave GPG affidabile del tuo sistema. Con ciò, il tuo sistema inizia a fidarsi dei repository firmati da quella chiave GPG e non vedi più l'errore.
Ma questo ti lascia con un'altra domanda:
Dovresti aggiungere alla cieca la nuova chiave GPG?
No. Puoi sempre ricontrollare se la chiave GPG modificata proviene effettivamente dallo sviluppatore o meno.
Come si fa a farlo? Dalla pagina del repository dello sviluppatore. Voglio dire, di solito gli sviluppatori hanno una pagina con queste istruzioni di installazione nella pagina del loro progetto. Citano la chiave GPG lì. Se la chiave è stata modificata, la pagina di installazione dovrebbe menzionarla. In caso contrario, puoi contattare lo sviluppatore.
Se hai utilizzato un PPA, puoi andare alla pagina PPA su Launchpad, fare clic sul profilo del manutentore e puoi vedere la chiave GPG pubblica su questo profilo. Puoi abbinarlo alla chiave modificata.
Ovviamente, in tutto questo, ti stai fidando dello sviluppatore per fornirti il repository e il pacchetto corretti. Bene, in primo luogo ti sei fidato dello sviluppatore, quindi, a meno che tu non abbia buone ragioni contro, potresti fidarti di nuovo dello sviluppatore.
Spero che non solo tu abbia corretto l'errore "Impossibile verificare le seguenti firme", ma sappia anche perché è successo e come è stato risolto.
Domande? Suggerimenti? La sezione commenti è tutta tua.