Що таке ключ сховища в Ubuntu і як вони працюють?

Більшу частину часу лише додавання сховища пакетів дозволяє завантажувати та встановлювати пакети без ключа сховища. Також деякі сховища відображають їх ключ поруч зі своєю інформацією, тому їх легко знайти. Але

• Чому нам потрібно додати ключі, якщо ми можемо встановлювати пакети без них?
• Як вони працюють під Ubuntu?

Я знайшов приємне пояснення з довідки Wiki Ubuntu Community Help .

• Що таке сховища?

"Ключі аутентифікації" зазвичай отримують у сервісного сховища програмного забезпечення. Технічний сервіс часто розміщує копію ключа автентифікації на сервері відкритих ключів, такому як www.keyserver.net. Потім ключ можна отримати за допомогою команди.

Apt Authentication

Apt-get управління пакетами використовує криптографію відкритого ключа для аутентифікації завантажених пакетів.

• Debian робить відмінну роботу з пояснення програми Secure на цій вікі-сторінці.

Далі йде короткий підсумок ключового процесу придбання та перевірки, зібраного зі сторінки вікі Debian.

Основні поняття Криптографія відкритого ключа заснована на парах ключів, a public keyі a private key. Світовий public keyвидається; private keyповинні зберігатися в секреті. Кожен, хто має відкритий ключ, може зашифрувати повідомлення так, що його може прочитати лише той, хто має приватний ключ. Також можливо використовувати приватний ключ для підписання файлу, а не шифрування. Якщо для підписання файлу використовується приватний ключ, то кожен, у кого є відкритий ключ, може перевірити, чи файл був підписаний цим ключем. Ніхто, хто не має приватного ключа, не може підробити такий підпис.

gpg (GNU Privacy Guard) - це інструмент, який використовується у захищеному стані для підписання файлів та перевірки їх підписів.

apt-key - програма, яка використовується для керування брелоком ключів gpg для безпечного apt. Ключові слова зберігаються у файлі /etc/apt/trusted.gpg (не плутати з пов’язаним, але не дуже цікавим /etc/apt/trustdb.gpg). apt-ключ може використовуватися для показу клавіш у брелоку, а також для додавання або видалення ключа.

Кожного разу, коли ви додаєте інший схожий схожий сховище /etc/apt/sources.list, вам також доведеться надавати apt його ключ, якщо ви хочете, щоб довіряти йому. Отримавши ключ, його можна перевірити, перевіривши відбиток ключа, а потім підписавши цей відкритий ключ своїм приватним ключем. Потім ви можете додати ключ до ключового слова aptapt-key add <key>

Вам потрібні ключі сховища, щоб ви могли підтвердити отриманий пакет від людини, від якої ви думаєте, що отримуєте його.

Це не дозволяє людям вводити погані пакунки у ваші оновлення.

Ви повинні додавати ключі сховища, коли зможете.