Apt-get zarządzanie pakietami wykorzystuje kryptografię klucza publicznego do uwierzytelnienia pobranych pakietów.
- Debian doskonale radzi sobie z wyjaśnianiem Secure apt na tej stronie wiki.
Poniżej znajduje się krótkie podsumowanie procesu pozyskiwania i weryfikacji klucza zebrane na stronie wiki Debiana.
Podstawowe pojęcia Kryptografia klucza publicznego opiera się na parach kluczy a
public keyoraz a private key. public keyPodaje się do świata; private keymuszą być utrzymywane w tajemnicy. Każda osoba posiadająca klucz publiczny może zaszyfrować wiadomość, aby mogła ją odczytać tylko osoba posiadająca klucz prywatny. Możliwe jest również użycie klucza prywatnego do podpisania pliku, a nie jego szyfrowania. Jeśli do podpisania pliku używany jest klucz prywatny, każdy, kto ma klucz publiczny, może sprawdzić, czy plik został podpisany przez ten klucz. Nikt, kto nie ma klucza prywatnego, nie może sfałszować takiego podpisu.
gpg (GNU Privacy Guard) to narzędzie używane w bezpiecznych programach do podpisywania plików i sprawdzania ich podpisów.
apt-key to program służący do zarządzania kluczami kluczy gpg dla bezpiecznego apt. Brelok jest przechowywany w pliku /etc/apt/trusted.gpg
(nie mylić z powiązanym, ale niezbyt interesującym
/etc/apt/trustdb.gpg). apt-key można użyć do wyświetlenia kluczy w breloku oraz do dodania lub usunięcia klucza.
Za każdym razem, gdy dodajesz kolejne repozytorium apt /etc/apt/sources.list, musisz także podać apt jego klucz, jeśli chcesz zaufać apt. Po uzyskaniu klucza możesz go zweryfikować, sprawdzając odcisk palca klucza, a następnie podpisując ten klucz publiczny kluczem prywatnym. Następnie możesz dodać klucz do kluczy apt za pomocąapt-key add <key>
