Seit der Einführung signierter Pakete (ist das tatsächlich schon wieder sechs Monate her?) war diese Eigenschaft standardmäßig abgeschaltet, da erst eine passende Infrastruktur aufgebaut werden musste. Jetzt ist sie so gereift, dass die nächste Aktualisierung standardmäßig das Einschalten dieses Features vorsieht.

Sofern man also nicht vorher schon einmal einen Keyring erzeugt hat, wird man nun dazu gezwungen. 
pacman-key --init
pacman-key --populate archlinux
Dies baut einen lokalen Schlüsselring auf und reichert ihn mit allen Daten an, die nötig sind, offizielle Pakete als solche zu authentifizieren. Insbesondere werden fünf Hauptschlüssel definiert. Nur diese sollte man verifizieren, indem man die Fingerabdrücke mit denen auf der enttsprechenden Seite vergleicht. Man muss also nicht wissen, ob gerade wieder jemand in eines der Teams (Entwickler, TUs) heraus- oder hineinfluktuiert ist.

Dann sollte man noch die eigene pacman.conf mit der neuen pacman.conf.pacnew zusammenführen, also insbesondere die SigLevel Option anpassen. Dann sollte man auf der "sicheren" Seite sein.

Näheres schreiben Allan und Pierre in ihren Blogs.
Der Link zu Pierre's Blog funktioniert nicht richtig, das ']Pierre' müsste weg.
Seit der Einführung signierter Paket(E) ??
Da doch einige darüber stolpern: Falls "pacman-key --init" "hängt", heißt dies dass noch nicht genug Zufallszahlen für euren GPG-Schlüssel vorhanden sind. Dieser Schlüssel ist äußerst wichtig, da ihr mit diesem die Master-Keys unterschreibt. Er sollte für jede Maschine einzigartig und nicht vorhersehbar, heißt wirklich zufällig sein.

Daher benötigt ihr möglichst gute Zufallszahlen zu Generierung. Die beste Möglichkeit ist die Maus unter X zu bewegen bzw. eine Menge I/O-Last zu erzeugen. Falls dies nicht möglich ist (kein X, VM etc.) könnt ihr alternativ auch haveged installieren und dessen Dämon starten. Dieser erzeugt zusätzlich Zufallszahlen aus CPU-Timings.

Es kursieren noch einige Tipps wie rng-tools zu nutzen um /dev/random mit Daten aus /dev/urandom zu befüllen. Das ist allerdings eine äußerst schlechte Idee, da ihr so die Anzahl der wirklichen Zufallszahlen nicht erhöht und der resultierende Schlüssel eher schwach ist.

Warum der ganze Aufstand: Dies resultiert aus dem Design von GPG. Ihr definiert Vertrauen in bestimmte Keys nicht durch Angabe einer Liste, sondern indem ihr diese mit euren Schlüsseln unterschreibt.
Moin,

danke für die Überarbeitung und Vereinfachung des bisherigen Systems und ebenfalls danke für die kurze Erklärung wie einfach und "convenient" das jetzt geworden ist. Damit werde ich dann wohl auch mein SigLevel=Never dahin ändern wie es gedacht ist. 🙂

mfg, Christian
2 Monate später
Danke für die Info!!!