把pacman更新到4.0.1后升级出问题了

gundamfj

这是升级时的输出


error: unrar: signature from "Giovanni Scafora <giovanni@archlinux.org>" is unknown trust
error: xf86-video-vmware: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
error: failed to commit transaction (invalid or corrupted package (PGP signature))
Errors occurred, no packages were upgraded.

不知道有没有人出现同样的情况

slash1117

没改/etc/pacman.conf?

shaohao

/etc/pacman.conf里面把SigLevel=Never

iamkr

新版加上签名功能有啥用？如果包都是从源下载的话还用验证吗，难道是怕人偷换源。。

lolilolicon

Post by iamkr;2158912
新版加上签名功能有啥用？如果包都是从源下载的话还用验证吗，难道是怕人偷换源。。

出问题的可以是你使用的源，也可以是连接源的过程包括例如DNS污染(这个身在天朝应该很有体会了)。只有签名验证才能确定这个包没有被邪恶势力调包。

另外，不应该使用 SigLevel = Never。现在core所有包都已签名，extra的包也大部分有签名，而新加到源里的包都会有签名，所以关掉签名验证既不明智也不必要。

gomi1992

同样遇到这样的问题
很是郁闷
只有SigLevel=Never
求其它解决方法

slash1117

wiki里有
https://wiki.archlinux.org/index.php/Pacman-key

bhoppi

Post by lolilolicon;2158913
出问题的可以是你使用的源，也可以是连接源的过程包括例如DNS污染(这个身在天朝应该很有体会了)。只有签名验证才能确定这个包没有被邪恶势力调包。

另外，不应该使用 SigLevel = Never。现在core所有包都已签名，extra的包也大部分有签名，而新加到源里的包都会有签名，所以关掉签名验证既不明智也不必要。

各repo的db文件还没有签名，对这个文件调包就可以实现绕过包签名。所以只有当所有的包和db文件都有了签名时，签名验证才有实际意义。

jr0501

http://www.archlinuxcn.org/viewtopic.php?f=22&t=533#p4050

首先
    # pacman-key --init
然后修改
    /etc/pacman.conf

去掉SigLevel = Optional TrustAll前的"#"
在   SigLevel = Never前添加"#"

最后修改
    /etc/pacman.d/gnupg/gpg.conf
中的
    keyserver hkp://keys.gnupg.net
为 keyserver hkp://pgp.mit.edu

lolilolicon

Post by bhoppi;2158926
各repo的db文件还没有签名，对这个文件调包就可以实现绕过包签名。所以只有当所有的包和db文件都有了签名时，签名验证才有实际意义。

对db文件调包怎么能实现绕过包签名呢？