yollywau schriebich habe jetzt auch auf meinem Dell Latitude 830 Notebook mit Ach und Krach Archlinux installiert und nun diese pacman-key Befehle für die Masterkeys mehrmals durchlaufen lassen.
Und dann das. 🙁
Das zeigt, das du irgendetwas falsch gemacht hast im Ablauf ;-)
Schauen wir uns mal einen der angemeckerten Developer-Keys (den von Gaetan Bisson an):
# gpg --homedir /etc/pacman.d/gnupg --list-keys --with-colons Bisson | grep pub
pub:f:2048:17:E62F853100F0D0F0:2010-01-10:::-:Gaetan Bisson <gaetan.bisson@normalesup.org>::scaESCA:
Zweite Spalte (Spaltentrenner sind Doppelpunkte) steht bei mir f. Das bedeutet: Fully trusted. Bei dir sollte da eigentlich mindest m(=marginal) stehen. Das tut es aber wohl nicht. Ich habe nun Geatans Key nicht explizit diesen Trustlevel ausgesprochen, sondern er bekommt ihn - eigentlich - dadurch automatisch da ich den ArchLinux-MasterKeys diesen Vertrauenslevel gegeben habe *und* Geatans Key eben mindest von 3 dieser MasterKeys signiert ist.
Was uns zu den MasterKeys führt:
# gpg --homedir /etc/pacman.d/gnupg --list-sigs Master
Hier muß jetzt für jeden der 5 "Arch Linux Master Key" eine Signierung mit deinem "Pacman Keychain Master Key <pacman@localhost>" ergeben, das ist eine Zeile mit "sig L" am Anfang. Wenn nicht, dann sind die 5 Keys nicht lokal signiert worden (lsign).
Dann der Trustlevel der Master-Keys:
# gpg --homedir /etc/pacman.d/gnupg --list-keys --with-colons Master | grep pub
pub:u:2048:1:D604U1591DF6C337:2012-01-19:::u:Pacman Keychain Master Key <pacman@localhost>::scSC:
pub:f:3072:1:3348882F6AC6A4C2:2011-11-18:::f:Pierre Schmitz (Arch Linux Master Key) <pierre@master-key.archlinux.org>::scESCA:
pub:f:3072:1:5184252D824B18E8:2011-11-19:::f:Thomas Bächler (Arch Linux Master Key) <thomas@master-key.archlinux.org>::scSC:
pub:f:3072:1:7EFD567D4C7EA887:2011-11-25:::f:Ionut Biru (Arch Linux Master Key) <ionut@master-key.archlinux.org>::scSC:
pub:f:3072:1:A04F9397CDFD6BB0:2011-11-29:::f:Dan McGee (Arch Linux Master Key) <dan@master-key.archlinux.org>::scESC:
pub:f:4096:1:BA1DFB64FFF979E7:2011-11-29:::f:Allan McRae (Arch Linux Master Key) <allan@master-key.archlinux.org>::scSC:
Der erste Key ist der lokale MasterKey, der auf dem Rechner selbst durch pacman-key --init erstellt wurde, dieser hat den Trustlevel u (ultimatives Vertrauen).
Die Archlinux-MasterKeys wurden (wie im Wiki bschrieben!) runtergeladen, von mir verifiziert (Fingerprint), dann lokal signiert (lsign) und ein Trustlevel ausgesprochen (hier habe ich volles Vetrauen = f genommen, es muß mindestens m=marginal sein).
Und dann noch die Überprüfung, welchen Keys ich überhaupt explizit ein Vertrauen ausgesprochen habe. Das sind 6 Stück, der erste ist "mein" LocalMasterKey, die anderen 5 die Archlinux MasterKeys. Die erste Spalte ist hier der Fingerprint des Keys (kann man recht leicht anhand der letzten paar Stellen mit der Ausgabe von oben vergleichen), die zweite Spalte der Trustlevel in numerischer Form (5=f=fully trusted, m=marginal sollte 4 sein???).
# gpg --homedir /etc/pacman.d/gnupg --export-ownertrust
# Liste der zugewiesenen Trustwerte, erzeugt am Do 26 Jan 2012 14:13:54 CET
# ("gpg --import-ownertrust" um sie zu restaurieren)
AC86D4U8543BA04FD2111FC3D604B1591DF6D277:6:
0E8B644079F599DFC1DDC3973348882F6AC6A4C2:5:
684148BB25B49E986A4944C55184252D824B18E8:5:
44D4A033AC140143927397D47EFD567D4C7EA887:5:
27FFC4769E19F096D41D9265A04F9397CDFD6BB0:5:
AB19265E5D7D20687D303246BA1DFB64FFF979E7:5:
Das alles muß auch bei dir gegeben sein damit das Ganze funktioniert. Wenn nicht, dann solltest du dich nochmal genau ans Wiki (und/oder an Kinchs Anweisung weiter oben halten).
//randbemerkung:
a) man kann viele Sachen entweder mit pacman-key oder eben direkt mit gpg erledigen, pacman-key ruft in vielen Fällen eben auch nur gpg auf, ist also eine Art frontEnd dazu.
b) Auf der Konsole ist leider (entgegen manchen Wikis/Manpages) der Trustlevel für einen Key durch --list-keys oder --list-sigs nicht rauszukriegen (?), erst die für Skripting gedachte Option --with-colons zeigt diese Werte an...
c) Die einzelnen Werte für die Trustlevel bedeuten:
o = Unknown (this key is new to the system)
e = The key has expired
q = Undefined (no value assigned)
n = Don't trust this key at all
m = There is marginal trust in this key
f = The key is full trusted
u = The key is ultimately trusted; this is only used
for keys for which the secret key is also available.
r = The key has been revoked
d = The key has been disabled
d) Eine Umrechnung der Ausgaben von --export-ownertrust und der obigen "Buchstaben-Werte" für den Trustlevel habe ich bisher nicht gefunden, müßte man wohl im Sourcecode schauen...