Jakie są podpisy GPG

11

Patrząc na pytania TAK , TO i TO proszę o wiedzę publiczną następujące pytania:

  1. Do czego służą podpisy GPG?

  2. Jaki dodatkowy poziom bezpieczeństwa podpisy dodają lub zapewniają użytkownikom?

  3. Jakie są typowe problemy związane z podpisami GPG z PPA w Launchpad i dlaczego są one produkowane?

Luis Alvarado
źródło

Odpowiedzi:

9

Co to jest GPG?

GPG, czyli GNU Privacy Guard , to pakiet oprogramowania kryptograficznego. Można go używać do szyfrowania lub podpisywania danych i komunikacji w celu zapewnienia ich autentyczności.

Ten typ kryptografii oparty jest na parach kluczy. Klucz publiczny jest hostowany na serwerze kluczy (np. Keyserver.ubuntu.com), a klucz prywatny jest utrzymywany w tajemnicy. Za pomocą klucza publicznego można zweryfikować podpis złożony przez klucz prywatny. Podobnie, znajomość czyjegoś klucza publicznego pozwoli ci zaszyfrować wiadomość, którą może odczytać tylko posiadacz odpowiedniego tajnego klucza.

Dalsza lektura: GnuPG do codziennego użytku (mini poradnik ...)

Co to ma ze mną wspólnego?

W tym kontekście repozytorium apt, z którego pobierasz pakiet, powinno być podpisane tajnym kluczem, abyś mógł sprawdzić, czy instalowane pakiety pochodzą z miejsca, w którym się znajdują.

Rzeczywisty plik w podpisanym repozytorium to Releaseplik. Ten plik zawiera sumy kontrolne wielu innych plików w repozytorium. Na przykład tutaj znajduje się plik oficjalnego repozytorium Ubuntu 12.10 i odpowiadający mu podpis GPG . Podczas instalowania pakietu aptweryfikuje podpis.

Dalsza lektura: Wszystko o bezpiecznym apt

Powszechne problemy

Klucz publiczny do oficjalnego archiwum Ubuntu jest już znany komputerowi, ale jeśli chcesz dodać PPA lub repozytorium innej firmy, musisz zaimportować ich klucz. Jeśli spróbujesz zaktualizować repozytorium, którego klucza nie masz, zobaczysz ostrzeżenia:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Po zainstalowaniu pakietu z tego repozytorium otrzymasz również ostrzeżenie:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

Chociaż te ostrzeżenia może być wyciszony poprzez uruchomienie aptz --allow-unauthenticatedflagą, ale lepiej jest dodać klucz do systemu, dzięki czemu można skorzystać z dodatkowego bezpieczeństwa.

Podczas dodawania PPA powinieneś użyć tego add-apt-repositorynarzędzia, ponieważ automatycznie poradzi sobie z dodaniem klucza dla Ciebie. Aby ręcznie dodać klucz, użyj następującego polecenia:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Jeśli wolisz to zrobić bez użycia terminala, zapoznaj się z tą odpowiedzią .

andrews coś
źródło