Каковы подписи GPG

10

Рассматривая такие вопросы, как ЭТО , THIS и ЭТО Я прошу публично знать следующие вопросы:

  1. Что такое подписи GPG?

  2. Какой дополнительный уровень безопасности подписчики добавляют или предоставляют пользователям?

  3. Каковы некоторые общие проблемы, связанные с сигнатурами GPG с PPA в Launchpad и почему они создаются?

задан Luis Alvarado 23.08.2012 в 00:58
источник

1 ответ

8

Что такое GPG?

GPG, или Защитник конфиденциальности GNU , представляет собой набор криптографических программ. Его можно использовать для шифрования или подписи данных и сообщений для обеспечения его подлинности.

Этот тип криптографии основан на парах ключей. Открытый ключ размещается на ключевом сервере (например, keyserver.ubuntu.com), а закрытый ключ хранится в секрете. Используя открытый ключ, можно проверить подпись, сделанную закрытым ключом. Аналогичным образом, зная, что кто-то публичный ключ позволит вам зашифровать сообщение, которое может быть прочитано держателем соответствующего секретного ключа.

Дальнейшее чтение: GnuPG для ежедневного использования (мини-How-To ...)

Что это связано со мной?

В этом контексте apt-репозиторий, который вы загружаете из пакета, должен быть подписан секретным ключом, чтобы вы могли проверить, что пакеты, которые вы устанавливаете, происходят из того места, где они говорят.

Фактическим файлом в подписанном репозитории является файл Release . Этот файл содержит контрольные суммы нескольких других файлов в репозитории. Например, вот файл для официального репозитория Ubuntu 12.10 и его соответствующая подпись GPG . Когда вы устанавливаете пакет, apt проверяет подпись.

Дальнейшее чтение: Все об защищенном apt

Общие проблемы

Открытый ключ для официального архива Ubuntu уже известен вашему компьютеру, но если вы хотите добавить PPA или сторонний репозиторий, вы должны импортировать свой ключ. Если вы попытаетесь обновить репозиторий, чей ключ у вас отсутствует, вы увидите предупреждения типа:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Когда вы устанавливаете пакет из этого репозитория, вы также получите предупреждение:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

В то время как эти предупреждения можно отключить, запустив apt с флагом --allow-unauthenticated , но лучше добавить ключ к вашей системе, чтобы вы могли воспользоваться добавленной безопасностью.

При добавлении PPA вы должны использовать инструмент add-apt-repository , так как это автоматически будет обрабатывать добавление ключа для вас. Если вам нужно добавить ключ вручную, используйте следующую команду:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Если вы предпочитаете делать это без использования терминала, проконсультируйтесь с этим ответом .

    
ответ дан andrewsomething 23.08.2012 в 03:26
источник