Глядя на такие вопросы, как ЭТО , ЭТО и ЭТО, я задаю для всеобщего сведения следующие вопросы:
Для чего нужны подписи GPG?
Какой дополнительный уровень безопасности подписи добавляют или предоставляют пользователям?
Каковы некоторые из общих проблем, связанных с подписями GPG с PPA в Launchpad, и почему они создаются?
Ответы:
GPG, или GNU Privacy Guard , представляет собой набор криптографического программного обеспечения. Он может использоваться для шифрования или подписи данных и сообщений для обеспечения их подлинности.
Этот тип криптографии основан на парах ключей. Открытый ключ размещается на сервере ключей (например, keyserver.ubuntu.com), а закрытый ключ хранится в секрете. Используя открытый ключ, можно проверить подпись, сделанную закрытым ключом. Аналогично, знание чьего-либо открытого ключа позволит вам зашифровать сообщение, которое может прочитать только владелец соответствующего секретного ключа.
Дополнительная литература: GnuPG для ежедневного использования (мини-инструкция ...)
В этом контексте репозиторий apt, из которого вы загружаете пакет, должен быть подписан секретным ключом, чтобы вы могли проверить, что пакеты, которые вы устанавливаете, происходят из того места, где они говорят, что они находятся.
Фактический файл в хранилище, которое подписано, является Releaseфайлом. Этот файл содержит контрольные суммы ряда других файлов в хранилище. Например, вот файл для официального репозитория Ubuntu 12.10 и его соответствующая подпись GPG . Когда вы устанавливаете пакет, aptпроверяет подпись.
Дальнейшее чтение: все о безопасном подходе
Открытый ключ для официального архива Ubuntu уже известен вашему компьютеру, но если вы хотите добавить PPA или сторонний репозиторий, вы должны импортировать их ключ. Если вы попытаетесь обновить репозиторий, ключ которого у вас нет, вы увидите такие предупреждения:
W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965
Когда вы устанавливаете пакет из этого репозитория, вы также получите предупреждение:
WARNING: The following packages cannot be authenticated!
dropbox
Install these packages without verification [y/N]?
Хотя эти предупреждения можно заставить замолчать, запустив aptс --allow-unauthenticatedфлагом, но лучше добавить ключ в вашу систему, чтобы вы могли воспользоваться преимуществами дополнительной безопасности.
При добавлении PPA вы должны использовать add-apt-repositoryинструмент, так как он автоматически обработает добавление ключа для вас. Если вам нужно добавить ключ вручную, используйте следующую команду:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE
Если вы предпочитаете делать это без использования терминала, обратитесь к этому ответу .