[pacman-key] Fonctionnement derrière un proxy (résolu)

[luri]

Salut à tous,

j'ai commencé à installé un arch il y a trois semaines (mais j'ai du m'arretter et j'ai repris aujourd'hui) et j'ai un soucis à l'installation de lib32-nvidia-utils :
Après la vérification de l'intégrité des paquets, j'ai le message suivant pour chacune des dépendances :

Code : Tout sélectionner

Erreur : lib32-glibc: key "A5E9288C4FA415FA" is unknown
Erreur : key "xxxx" could not be looked up remotely

(sachant que je n'ai pas encore installé grand chose à part la base, gnome (pas encore lancé) et X.org)

J'ai vérifié /etc/pacman.conf et j'ai bien :

Code : Tout sélectionner

SyncFirst   = pacman yaourt package-query pacman-color pyalpm namcap
SigLevel = Never

(présentement, étant donné que c'est un nouveau système, la ligne syncfirst ne doit pas être en cause.)

J'ai essayé de générer les clefs (pacman-key --init) :
gpg : Done (je suppose que c'est fait)
==> Mise à jour de la bdd de confiance ? (il ne me laisse pas répondre et enchaine sur la suite)
gpg : 3 marginale(s) nécessaires, 1 complète(s) nécessaires, modèle de confiance PGP
gpg : profondeur : 0 valide : 1 signé : 0
confiance: 0-. 0g. 0n. 0m. 0f. 1u

J'ai ensuite essayé d'ajouter les 5 Masterkey. J'ai donc copié les valeurs de la colonne masterkey sur page idioine (comme indiqué dans le wiki) et j'ai exécuté :
pacman-key -r 0x.... 0x.... 0x... 0x.... 0x...

sortie :

Code : Tout sélectionner

gpg: requête de la clé 6xxxxxx du serveur hkp keys.gnupg.net
gpg: requête de la clé 8xxxxx du serveur hkp keys.gnupg.net
gpg: requête de la clé 4xxxxx du serveur hkp keys.gnupg.net
gpg: requête de la clé Cxxxxxx du serveur hkp keys.gnupg.net
gpg: requête de la clé Fxxxxx du serveur hkp keys.gnupg.net
gpg: le délai d'attente du serveur de clés a expiré
gpg: la réception depuis le serveur de clés a échoué: Erreur de serveur de clé
==> ERREUR : La clef distance n'a pas correctement pu être atteinte depuis leserveur de clefs.

(idem avec le serveur proposer dans le wiki)
(ne devrait-on pas indiquer le fingerprint plutôt que la colonne masterkey ?)

Je suppose que le problème vient du fait que je suis derrière un proxy qui doit autoriser uniquement les ports 80 et 443. Or je n'ai pas accès à la config du proxy, je ne peux pas la faire changer et je ne peut pas m'en passer.
Comment puis-je faire pour faire fonctionner le tout ?
Est-ce qu'il y a quelque chose que j'ai oublié ?

Je précise que les paquets que j'ai installé jusqu'à maintenant se sont installé sans problème, je suppose qu'ils n'étaient pas signé.

[benjarobin]

Utilise le serveur gpg d'Ubuntu qui tourne sur le port 80 ou 443

[FoolEcho]

Ton titre, stp. http://wiki.archlinux.fr/Forum#Format_du_titre

[luri]

Désolé pour le titre,

Merci,
J'ai réussi à ajouter les Masterkey en indiquant le port 80 :

Code : Tout sélectionner

keyserver hkp://keys.gnupg.net:80

(ça marche sans doute avec les autres serveurs mais comme un blaireau, je les ait essayé avec http: à la place de hkp)
J'ai du faire la commande plusieurs fois pour qu'il arrive à tous me les retrouver mais bon, ça c'est fait.

J'ai signé les clefs et les ait autorisé au niveau 4 (d'abord 3 mais vu que ça ne fonctionnait pas j'ai monté d'un cran)

Mais mon installation de lib32-nvidia-utils me met toujours les mêmes messages :

Code : Tout sélectionner

Erreur : lib32-glibc: key "A5E9288C4FA415FA" is unknown
Erreur : key "A5E9288C4FA415FA" could not be looked up remotely
Erreur : lib32-libxdmcp: key "06096A6AD1CEDDAC" is unknown
Erreur : key "06096A6AD1CEDDAC" could not be looked up remotely
Erreur : lib32-libxau: key "06096A6AD1CEDDAC" is unknown
Erreur : key "06096A6AD1CEDDAC" could not be looked up remotely
Erreur : lib32-libxcb: key "06096A6AD1CEDDAC" is unknown
Erreur : key "06096A6AD1CEDDAC" could not be looked up remotely
Erreur : lib32-libx11: key "06096A6AD1CEDDAC" is unknown
Erreur : key "06096A6AD1CEDDAC" could not be looked up remotely
Erreur : lib32-libxext: key "06096A6AD1CEDDAC" is unknown
Erreur : key "06096A6AD1CEDDAC" could not be looked up remotely
Erreur : lib32-libxv: key "7F2D434B9741E8AC" is unknown
Erreur : key "7F2D434B9741E8AC" could not be looked up remotely
Erreur : lib32-libxvmc: key "7F2D434B9741E8AC" is unknown
Erreur : key "7F2D434B9741E8AC" could not be looked up remotely
Erreur : lib32-zlib: key "7F2D434B9741E8AC" is unknown
Erreur : key "7F2D434B9741E8AC" could not be looked up remotely
Erreur : lib32-gcc-libs: key "A5E9288C4FA415FA" is unknown
Erreur : key "A5E9288C4FA415FA" could not be looked up remotely
Erreur : lib32-nvidia-utils: key "E8F18BA1615137BC" is unknown
Erreur : key "E8F18BA1615137BC" could not be looked up remotely
Erreur : la validation de la transaction a échoué (paquet invalide ou corrompu (signature PGP))
Des erreurs se sont produites, aucun paquet n'a été mis à jour.

Heu... du coup, je fait comment pour installer mon paquet ?
J'ai l'impression que le SigLevel Never ne fonctionne pas avec multilib ou bien qu'il n'est pas pris en compte

[luri]

Well... je suis un blaireau.

La réponse était trois ligne plus bas dans le fichier de conf de pacman :

pour le repository multilib, j'avais décommenté la ligne SigLevel.
Du coup, j'avais :

Code : Tout sélectionner

[multilib]
SigLevel = PackageOptional
Include = /etc/pacman.d/mirrorlist

en commentant ça fonctionne mieux :

Code : Tout sélectionner

[multilib]
#SigLevel = PackageOptional
Include = /etc/pacman.d/mirrorlist

Mes signatures de paquets ne sont plus vérifié et donc ils s'installent.

Ca ne me dit pas pourquoi il n'arrive pas à leur trouver une signature valide mais au moins, je peux continuer à installer mon système.
(si quelqu'un as une explication, je suis preneur)

Merci!

[FoolEcho]

Ca ne me dit pas pourquoi il n'arrive pas à leur trouver une signature valide mais au moins, je peux continuer à installer mon système.

Vu qu'il n'arrive pas à récupèrer les clés des mainteneurs automatiquement (j'ai pas compris pourquoi par contre), c'est normal que rien ne soit valide. Tu peux toujours rajouter les clés avec pacman-key (mais pas besoin de signer ces clés).

[luri]

Merci,

j'ai réessayé ce matin en supprimant la conf et en recommençant depuis le début :
- J'ai installé les masterkey une par une (ça ne fonctionne pas lorsque j'essaye d'ajouter plusieurs clefs à la fois mais ça marche lorsque je les ajoute une par une)
- je les ait signé avec tsign, à un niveau de confiance marginal et une profondeur de 1 (j'ai rien compris à la question sur la profondeur, j'espère que j'ai répondu un truc correct)
- J'ai modifié le pacman.conf à SigLevel = Optional TrustedOnly
- J'ai supprimé lib32-nvidia-utils et j'ai fait un nettoyage du cache de pacman
- j'ai tenté de réinstallé le paquet lib32-nvidia-utils

Ben, j'ai le même message qu'hier :
"Erreur : key "06096A6AD1CEDDAC" could not be looked up remotely"

Je suis donc allé voir les info sur un des paquets (lib32-glibc), j'ai récupéré le nom du signataire du paquet et j'ai installé sa clef avec pacman-key -r.
Ça fonctionne : pacman ne me met plus l'erreur pour ce paquet.

Je pourrais donc ajouter manuellement les clefs des devs de archlinux mais cette solution ne me convient pas. (Je veux bien ajouter des masterkey mais je ne veux pas gérer manuellement les clefs des 60 dev de archlinux : si le téléchargement automatique ne fonctionne pas, je suppose que la révocation ne fonctionnera pas non plus. Du coup, il n'y a plus d'intérer à utiliser les signatures.)

Mon problème devient donc :
pourquoi pacman-key -r <clefid> fonctionne mais que pacman n'arrive pas à récupérer les clefs automatiquement ? (je suis toujours derrière un proxy)

pour le moment, je continue donc à désactiver les clefs

[benjarobin]

La réponse est dans mon premier message (hkp://keyserver.ubuntu.com:80)... Car ce serveur hkp://keys.gnupg.net:80 à beaucoup de raté

[luri]

Merci de ta réponse mais ça ne fonctionne pas mieux avec le serveur proposé.

mon gpg.conf :

Code : Tout sélectionner

no-greeting
no-permission-warning
lock-never
keyserver hkp://keyserver.ubuntu.com:80
keyserver-options timeout=50

[tuxce]

Où est ce que tu définis les paramètres du proxy ?
Au pire, tu peux les définir dans le /etc/pacman.d/gnupg/gpg.conf:

Code : Tout sélectionner

keyserver-options http-proxy=serv:port

Mais normalement, la variable d'environnement http_proxy est prise en compte.

[luri]

Merci.

J'utilise la variable d'environnement pour définir le proxy.
J'ai ajouté la directive mais ça n'a rien changé. Les téléchargements de paquets se font bien, mais il n'arrive pas à trouver la signature (message d'erreur identique)

J'ai embarqué le pc chez moi à midi pour tester à partir d'une connexion standard. J'ai recommencé toute la procédure (avec le serveur ubuntu) et c'est encore la même chose : masterkey trouvé et ajouté, quand au paquets key "xxxx" could not be looked up remotely"
Ca semble donc exclure le proxy et le problème doit être autre. (je vais chercher un peu et ouvrir un autre sujet si je ne trouve pas.)

merci pour votre disponibilité.

En résumé, pour un fonctionnement derrière un proxy, configurez /etc/pacman.d/gnupg/gpg.conf de la manière suivante :

no-greeting
no-permission-warning
lock-never
keyserver hkp://keyserver.ubuntu.com:80
keyserver-options timeout=50

Avec la variable d'environnement http_proxy de configuré.
Il est aussi possible d'utiliser keyserver-options http-proxy=serv:port dans /etc/pacman.d/gnupg/gpg.conf.
(PS : le timeout est augmenté car 10 chez moi, c'est trop petit.)


----------------
Edit : d'après ce que je comprend du sujet https://bbs.archlinux.org/viewtopic.php?id=138498 il y a certains problèmes de signature en ce moment, qui devrait être fixé dans la prochaine version de pacman (4.0.3)