PeterLeimbach ich versuche brave aus dem AUR zu übersetzen und muss dazu zunächst ncurses-6.3.tar.gz aus dem aur mittels makepkg -si installieren.
Wenn ich mir das PKGBUILD ansehe, finde ich eine Abhängigkeit zu ncurses5-compat-libs
, die bedingt nur gesetzt wird, wenn ausdrücklich die Variable COMPONENT
den Inhalt 4
hat; Standard ist 1
.
PeterLeimbach Ich habe aber ein Problem damit ohne zu wissen, wer sich hinter dem PGP-Schlüssel verbirgt
Das steht im Kommentar und kannst du außerdem abfragen:
gpg --search-keys CC2AF4472167BE03
gpg: enabled debug flags: memstat
gpg: data source: http://162.213.33.8:11371
(1) Thomas E. Dickey (use for email) <dickey@his.com>
Thomas E. Dickey (self-signed w/o SHA1) <dickey@invisible-island.net>
3072 bit RSA key CC2AF4472167BE03, erzeugt: 2021-07-30
Nur bringt dich die Erkenntnis, dass der Schlüssel offensichtlich Thomas E. Dickey gehört, nicht viel weiter, denn du weißt immer noch nicht, wer das ist und ob du ihm vertrauen kannst; dazu müsstest du ihn persönlich kennen. Außerdem könnte auch jeder andere einen Schlüssel mit diesem Namen und der EMail-Adresse veröffentlichen und damit ein Paket signieren, weil es überhaupt keine Überprüfung gibt, ob es sich tatsächlich um die Person handelt, für die sie sich ausgibt. Dazu müsstest du ihn kontaktieren und er müsste dir seinen Fingerprint schicken.
PeterLeimbach Gibt es eine Seite, auf der ich die öffentlichen PGP-Schlüssel vorab prüfen kann, die ich nicht kenne?
Wie gezeigt, kann man sich vom Keyserver die hinterlegten Informationen ausgeben lassen. Damit hat man zumindest die Sicherheit, dass die Signatur des Pakets zu dem öffentlichen Schlüssel passt.