Hoje (17/Jan/2012), foi disponibilizado no repositório Core do Arch Linux, o Pacman 4.

Esta nova versão do gerenciador de pacotes traz diversas novas funcionalidades, porém a que mais se destaca é a assinatura “GPG” (Gnu Privacy Guard) para pacotes em repositórios, que garante maior integridade e a confiabilidade tanto para pacotes quanto para repositórios dessa distribuição GNU/Linux.

É fato que esta funcionalidade já existia há algum tempo em outras distribuições GNU/Linux, como Debian e derivados. Entretanto, no Arch Linux ainda estava em fase de testes e só podia ser obtida ativando o repositório “Testing” ou compilando o mesmo através do AUR (ou utilizando a ferramenta “yaourt”).

Devido à importância desta atualização, ela demanda uma certa intervenção manual, que explico no link abaixo.

Entenda como implementar esta atualização com segurança, dando devida atenção às regras de uso deste novo recurso de criptografia, além de assegurar um backup prévio de seus repositórios de terceiros (que terão de ser recadastrados manualmente após esta atualização).

Continue lendo em:

• http://www.mindbending.org -Instalando o Pacman 4

[1] Comentário enviado por edps em 20/01/2012 - 18:54h:

Por coincidência isso veio junto com uma nova instalação que fiz, quebrei bastante a cabeça pois estava na tela preta instalando pacotes e ao checar o novo pacman.conf.new vi essa novidade.

Confesso que além de estranhar não gostei muito dessa parte de adicionar chave pública manualmente, mas felizmente a opção não vem habilitada por padrão e já encontrei uma solução temporária:

http://bbs.archbang.org/viewtopic.php?pid=9973#p9973
https://wiki.archlinux.org/index.php/Pacman-key#Developer_and_TU_keys

Na minha opinião e respeitando a escolha da distro, acho que deveriam criar para cada repo (core, extra,community e os do testing) um pacote contendo essas chaves GPG, similar ao que ocorre com o debian-archive-keyring ou o gigantesco debian-keyring.

Parabéns pela postagem!

[2] Comentário enviado por eldermarco em 21/01/2012 - 09:35h:

Vez ou outra o pacman pede a confirmação para importar a chave e quando você dá um sim, ele o faz sem reclamar e instala o pacote. Quando isso não acontece, é necessário mesmo usar o pacman-key para assiná-la.

# pacman-key --lsign-key id_da_chave

Isso me confundiu num primeiro momento, mas depois ficou tudo resolvido. A ideia de importar uma chave para cada empacotador/trusted user é ruim mesmo, mas os desenvolvedores argumentam que não são tantos assim. De qualquer maneira, também compartilho a posição defendida pelo Edinaldo: uma chave para cada repositório.

[3] Comentário enviado por xerxeslins em 22/01/2012 - 00:20h:

eu tava querendo postar uma dica sobre isso agorinha, mas vi que não precisa graças as sua ótima didática! Parabéns!