*.deb
packages não são assinados diretamente no Debian. Existe uma maneira de fazer isso, mas nada no Debian usa isso.
O princípio usado pelos repositórios Debian e Ubuntu APT funciona da seguinte forma:
Todos os pacotes binários *.deb
estão listados em um arquivo (por exemplo) binary-i386/Packages.gz
com seus checksums. (Todas as versões atuais do Debian e Ubuntu usam todos os três (!) De MD5, SHA-1 e SHA-256 para isso. Versões antigas usavam apenas MD5.) Todos os pacotes% source *.dsc
estão listados em source/Sources.gz
.
Todos esses arquivos binary-*/Packages.*
e source/Sources.*
são listados, com suas somas de verificação, em um arquivo Release
, que é assinado como Release.gpg
ou InRelease
, com a chave PGP repositório .
Então, basicamente, se você colocar qualquer pacote em um repositório próprio do APT, precisará assinar esse repositório e usar apt-key add
para importar a chave de assinatura do seu próprio repositório para o sistema quando quiser usar qualquer pacote do repositório. esse repositório.