Linuxspicker

Beim Einlesen von Updates mit „apt update“ unter Debian und Ubuntu ergab sich die Fehlermeldung Die folgenden Signaturen waren ungültig: EXPKEYSIG 74A941BA219EC810 deb.torproject.org archive signing key für das Repository vom Torproject.

Nach apt dist-upgrade kommt zudem noch die Meldung:

W: Während der Überprüfung der Signatur trat ein Fehler auf. Das Depot wurde nicht aktualisiert und die vorherigen Indexdateien werden verwendet. GPG-Fehler: https://deb.torproject.org/torproject.org bullseye InRelease: Die folgenden Signaturen waren ungültig: EXPKEYSIG 74A941BA219EC810 deb.torproject.org archive signing key
W: Fehlschlag beim Holen von https://deb.torproject.org/torproject.org/dists/bullseye/InRelease Die folgenden Signaturen waren ungültig: EXPKEYSIG 74A941BA219EC810 deb.torproject.org archive signing key
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.

womit gesagt wird, dass neue Pakete aus diesem Repository nicht genutzt werden können.

In den Anleitungen für die Installation von Paketen aus dem Torproject steht, dass der Schlüssel für die Verifizierung der Echtheit der Pakete vom Projektserver so installiert wird:

wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --dearmor | tee /usr/share/keyrings/deb.torproject.org-keyring.gpg >/dev/null

Das wurde auf beiden Rechnern getan, kann also nicht der Grund sein. Im Wurzelverzeichnis des Torproject-Servers gibt es auch weiterhin nur diese Schlüsseldatei A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc. Der Ansatz war also auszuschließen.

Die Quellendateien tor.list in /etc/apt/sources.list enthalten je nach Betriebssystem Einträge wie deb [arch=amd64 signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org jammy main oder deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org bullseye main. Hieraus ergibt sich der Hinweis, dass der Schlüssel zum Prüfen der Echtheit der Debian-Pakete unter /usr/share/keyrings/tor-archive-keyring.gpg zu finden ist.

In dem Verzeichnis findet sich in der Tat die Schlüsseldatei tor-archive-keyring.gpg. Das ist also auch nicht das Problem. Ebenfalls findet sich dort aber auch die Schlüsseldatei deb.torproject.org-keyring.gpg. Und siehe da, wenn man in der Quelldatei tor-archive-keyring.gpg durch deb.torproject.org-keyring.gpg ersetzt, dann verschwindet die Fehlermeldung und die Pakete können normal über apt auf den neuesten Stand gebracht werden.

Für Ubuntu Jammy muss die Zeile also so aussehen:

deb     [arch=amd64 signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org jammy main

Für Debian Bullseye dann so:

deb     [signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org bullseye main

Eine Herkunftssuche mittels dpkg -S deb.torproject.org-keyring.gpg fördert zu Tage, dass die Schlüsseldateien ganz regulär aus dem Paket deb.torproject.org-keyring installiert wurden.

deb.torproject.org-keyring: /etc/apt/trusted.gpg.d/deb.torproject.org-keyring.gpg
deb.torproject.org-keyring: /usr/share/keyrings/deb.torproject.org-keyring.gpg

Und auch ein genauerer Blick in die FAQ vom Torproject zeigt, dass dort die Quelle mit dem Schlüsselring deb.torproject.org-keyring angegeben ist.

deb     [signed-by=/usr/share/keyrings/deb.torproject.org-keyring.gpg] https://deb.torproject.org/torproject.org <DISTRIBUTION> main

Na dann, frohes updaten …