Hallo,
dieser Artikel befasst sich nur mit den Installations-Schlüsseln der Paketverwaltung, nicht mit anderen Schlüsselverwaltungen wie z.B. dem GNOME-Keyring. ...
Mein Einwand bezog sich genau auf die Schlüssel, mit denen die Paketquellen signiert sind. Die liegen nicht im eigenen Homeverzeichnis, sondern in /etc/apt/keyrings/
. Schlüssel von Fremdpaketen sollte man NIE in der Datei /etc/apt/trusted.gpg
oder ins Verzeichnis /etc/apt/trusted.gpg.d
packen! Das ist unsicher und deshalb überholt.
Außerdem muß man bei Fremdpaketen eine Brücke mit signed-by
in einer list
-Datei in /etc/apt/sources.list.d/
bauen, siehe https://manpages.ubuntu.com/manpages/noble/en/man5/sources.list.5.html#deb822-style%20format.
Die Paket-Signierschlüssel sollte man nicht von einem Spiegelserver herunterladen, erst recht nicht mit HTTP, sonder direkt vom Paket-Maintainer: mit einer gesicherten Verbindung, also HTTPS oder HKPS.
apt-key
liefert schon jahrelang Warnungen, daß das deprecated ist. Packt nicht auch das Skript add-apt-repository
Schlüssel an die veralteten "trusted"-Stellen? Früher war das mal so. Ab 24.04 sollte man so was nicht mehr machen. Das Link oben zeigt, wie es richtig geht (aber ohne bequemes Skript).