Depuis déjà quelques mois, la version de APT intègre un contrôle de la validité des paquets via GPG.

Pour ceux qui ne savent pas comment utiliser APT avec la version de ETCH ou SID et qui ont un message du genre :

W: GPG error: ftp://ftp.nerim.net etch Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY 07DC563D1F41B907

Il faut d’abord importe clefs officielles des dépots debian :

apt-get install debian-keyring

Ensuite il faut importer les clés dans son trousseau

gpg –import /usr/share/keyrings/debian-keyring.gpg

Pour chaque autre dépot non officiel, il faut récuperer la clé du dépot et l’ajouter par la procédure qui suit :

Exemple d'import la clé du dépot de marillat :

gpg –keyserver pgp.mit.edu –recv-keys 1F41B907

gpg –armor –export 1F41B907 | apt-key add -