por que os pacotes open source do ubuntu possuem chave gpg?

1

Entendo que gpg chaves são para "assinar" seus dados conforme mencionado em seu site ( link )

Mas por que alguns pacotes de código aberto exigem que eu instale uma chave gpg? O que isso está protegendo contra?

Obrigado.

    
por simplename 04.05.2018 / 20:02

1 resposta

3

Está protegendo o pacote contra adulterações. O instalador verifica se a assinatura do pacote é válida e feita por uma das chaves nas quais você configurou o sistema para confiar.

Quando você adiciona uma chave com o apt-key, você confia nessa chave para autenticar o software. Isso significa que um terceiro não pode fornecer a você um pacote modificado - ele valida se o pacote é feito por quem controla a chave privada correspondente.

Isso significa que você não precisa confiar em quem opera um espelho do Ubuntu; Você pode verificar se eles não estão fornecendo malware, porque eles não poderão assinar um pacote com uma chave confiável.

    
por vidarlo 04.05.2018 / 20:45