Що таке підписи GPG

11

Дивлячись на такі питання, як ЦЕ , ЦЕ та ЦЕ, я прошу публічних знань наступні питання:

  1. Для чого підписуються GPG?

  2. Який додатковий рівень безпеки підписи додають або надають користувачам?

  3. Назвіть деякі найпоширеніші проблеми, пов’язані з підписами GPG з PPA в Launchpad і чому вони виробляються?

apt  repository  launchpad  gnupg 
Луїс Альварадо
джерело

Відповіді:

9

Що таке GPG?

GPG або GNU Privacy Guard - це набір криптографічних програм. З його допомогою можна шифрувати або підписувати дані та комунікації для забезпечення її достовірності.

Цей тип криптографії заснований на ключових парах. Відкритий ключ розміщується на сервері ключів (наприклад, keyserver.ubuntu.com), а приватний ключ зберігається в таємниці. Використовуючи відкритий ключ, можна перевірити підпис, зроблений приватним ключем. Так само знання чийогось відкритого ключа дозволить вам зашифрувати повідомлення, яке може прочитати лише власник відповідного секретного ключа.

Подальше читання: GnuPG для щоденного використання (Міні-інструкція ...)

Що це стосується мене?

У цьому контексті вкладне сховище, з якого ви завантажуєте пакет, має бути підписане секретним ключем, щоб ви могли перевірити, що встановлені вами пакунки походять з того місця, де вони кажуть, що вони є.

Фактичний файл у підписаному сховищі - це Releaseфайл. Цей файл містить контрольні суми ряду інших файлів у сховищі. Наприклад, ось файл для офіційного сховища Ubuntu 12.10 та його відповідний підпис GPG . Під час встановлення пакета aptперевіряється підпис.

Подальше читання: Все про безпечне вживання

Загальні питання

Відкритий ключ офіційного архіву Ubuntu вже відомий вашим комп’ютером, але якщо ви хочете додати PPA або стороннє сховище, вам потрібно імпортувати їх ключ. Якщо ви спробуєте оновити сховище, ключа якого у вас немає, ви побачите попередження на зразок:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Коли ви встановите пакет із цього сховища, ви також отримаєте попередження:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

У той час як ці попередження можна відключити, запустивши aptз --allow-unauthenticatedпрапором, але краще , щоб додати ключ до всієї системи , так що ви можете скористатися додатковою безпекою.

Додаючи PPA, ви повинні використовувати add-apt-repositoryінструмент, оскільки це автоматично обробляє додавання ключа для вас. Якщо вам потрібно додати ключ вручну, скористайтеся такою командою:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Якщо ви хочете зробити це за допомогою терміналу, зверніться до цієї відповіді .

і що-небудь щось
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.