Co to jest klucz repozytorium w systemie Ubuntu i jak działają?

W większości przypadków po prostu dodanie repozytorium pakietów umożliwia pobranie i zainstalowanie pakietów bez klucza repozytorium. Również niektóre repozytoria wyświetlają swój klucz obok swoich informacji, dzięki czemu można je łatwo znaleźć. Ale

• Dlaczego musimy dodawać klucze, jeśli możemy instalować pakiety bez nich?
• Jak działają w systemie Ubuntu?

Znalazłem dobre wyjaśnienie z Wiki Pomocy Społeczności Ubuntu .

• Co to są repozytoria?

„Klucze uwierzytelniające” są zwykle uzyskiwane od opiekuna repozytorium oprogramowania. Opiekun często umieszcza kopię klucza uwierzytelniającego na serwerze kluczy publicznych, takim jak www.keyserver.net. Klucz można następnie pobrać za pomocą polecenia.

Apt Uwierzytelnianie

Apt-get zarządzanie pakietami wykorzystuje kryptografię klucza publicznego do uwierzytelnienia pobranych pakietów.

• Debian doskonale radzi sobie z wyjaśnianiem Secure apt na tej stronie wiki.

Poniżej znajduje się krótkie podsumowanie procesu pozyskiwania i weryfikacji klucza zebrane na stronie wiki Debiana.

Podstawowe pojęcia Kryptografia klucza publicznego opiera się na parach kluczy a public keyoraz a private key. public keyPodaje się do świata; private keymuszą być utrzymywane w tajemnicy. Każda osoba posiadająca klucz publiczny może zaszyfrować wiadomość, aby mogła ją odczytać tylko osoba posiadająca klucz prywatny. Możliwe jest również użycie klucza prywatnego do podpisania pliku, a nie jego szyfrowania. Jeśli do podpisania pliku używany jest klucz prywatny, każdy, kto ma klucz publiczny, może sprawdzić, czy plik został podpisany przez ten klucz. Nikt, kto nie ma klucza prywatnego, nie może sfałszować takiego podpisu.

gpg (GNU Privacy Guard) to narzędzie używane w bezpiecznych programach do podpisywania plików i sprawdzania ich podpisów.

apt-key to program służący do zarządzania kluczami kluczy gpg dla bezpiecznego apt. Brelok jest przechowywany w pliku /etc/apt/trusted.gpg (nie mylić z powiązanym, ale niezbyt interesującym /etc/apt/trustdb.gpg). apt-key można użyć do wyświetlenia kluczy w breloku oraz do dodania lub usunięcia klucza.

Za każdym razem, gdy dodajesz kolejne repozytorium apt /etc/apt/sources.list, musisz także podać apt jego klucz, jeśli chcesz zaufać apt. Po uzyskaniu klucza możesz go zweryfikować, sprawdzając odcisk palca klucza, a następnie podpisując ten klucz publiczny kluczem prywatnym. Następnie możesz dodać klucz do kluczy apt za pomocąapt-key add <key>

Potrzebujesz kluczy repozytorium, aby sprawdzić, czy dostałeś pakiet od osoby, od której myślisz, że go otrzymałeś.

Ma to na celu powstrzymanie ludzi przed wprowadzaniem złych pakietów do twoich aktualizacji.

W miarę możliwości należy dodawać klucze repozytorium.