@grüppel: ja, das ist ja aber eigentlich genau das, was ich vermeiden wollte. Ich aktualisiere den Schlüsselbund aus einer Quelle die ich nicht kenne. Damit führe ich doch das ganze System der Quellen-Verifizierung ad absurdum, oder hab ich da was falsch verstanden?
Hab aber dennoch auf einem Test-Arch (auf 2. SSD) einmal den angepinnten Befehl ausgeführt:
gpg --keyserver pool.sks-keyservers.net --recv-keys D1483FA6C3C07136
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Keine Daten
@efreak4u: Ich hab es ja genau so probiert wie Du es in Beitrag #4 geschrieben hast. erst mit git clone https... das paket clonen und im Anschluss mit makepkg den Build anstoßen.
Dann läd er erst runter und scheitert dann an der Verifizierung der runtergeladenen Daten:
makepkg
==> Erstelle Paket: tor-browser-en 7.5.4-1 (Mi 23. Mai 15:03:23 UTC 2018)
==> Prüfe Laufzeit-Abhängigkeiten...
==> Prüfe Buildtime-Abhängigkeiten...
==> Empfange Quellen...
-> Lade tor-browser-linux64-7.5.4_en-US.tar.xz herunter...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 65.8M 100 65.8M 0 0 5546k 0 0:00:12 0:00:12 --:--:-- 5490k
-> Lade tor-browser-linux64-7.5.4_en-US.tar.xz.asc herunter...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 801 100 801 0 0 7852 0 --:--:-- --:--:-- --:--:-- 7852
-> tor-browser-en.desktop gefunden
-> tor-browser-en.png gefunden
-> tor-browser-en.sh gefunden
==> Überprüfe source Dateien mit md5sums...
tor-browser-linux64-7.5.4_en-US.tar.xz ... Durchgelaufen
tor-browser-linux64-7.5.4_en-US.tar.xz.asc ... Übersprungen
tor-browser-en.desktop ... Durchgelaufen
tor-browser-en.png ... Durchgelaufen
tor-browser-en.sh ... Durchgelaufen
==> Überprüfe source Dateien mit sha256sums...
tor-browser-linux64-7.5.4_en-US.tar.xz ... Durchgelaufen
tor-browser-linux64-7.5.4_en-US.tar.xz.asc ... Übersprungen
tor-browser-en.desktop ... Durchgelaufen
tor-browser-en.png ... Durchgelaufen
tor-browser-en.sh ... Durchgelaufen
==> Überprüfe source Dateien mit sha512sums...
tor-browser-linux64-7.5.4_en-US.tar.xz ... Durchgelaufen
tor-browser-linux64-7.5.4_en-US.tar.xz.asc ... Übersprungen
tor-browser-en.desktop ... Durchgelaufen
tor-browser-en.png ... Durchgelaufen
tor-browser-en.sh ... Durchgelaufen
==> Überprüfe Signaturen der Quell-Dateien mit gpg...
tor-browser-linux64-7.5.4_en-US.tar.xz ... FEHLGESCHLAGEN (Unbekannter öffentlicher Schlüssel D1483FA6C3C07136)
==> FEHLER: Eine oder mehrere PGP-Signaturen konnten nicht überprüft werden!
Muss ich denn jetzt wirklich den Schlüssel über
gpg --keyserver pool.sks-keyservers.net --recv-keys D1483FA6C3C07136
importieren? Gibt es denn irgendwo eine Liste der Keyserver denen ich vertrauen kann, oder muss ich mich da tatsächlich auf die angepinnte Nachricht verlassen?
und nun halt gleich das nächste Problem, Ergebnis des Importversuchs:
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Keine Daten
Jetzt steht etwas weiter unten auf aur.archlinux.org, dass der Keyserver wohl down ist und man diesen nehmen soll: hkp://pgp.mit.edu:11371
Womit ich wieder bei meiner Frage von oben bin: woher weiß ich welchen Keyservern ich vertrauen kann
Gruß & Danke an alle 🙂
Joo