Eu encontrei uma boa explicação do Wiki da Ajuda da comunidade do Ubuntu .
"Chaves de autenticação" são geralmente obtidas do mantenedor do repositório de software. O mantenedor frequentemente coloca uma cópia do chave de autenticação em um servidor de chave pública, como www.keyserver.net. A chave pode então ser recuperada usando o comando.
O gerenciamento de pacotes
Apt-getusa criptografia de chave pública para autenticar os pacotes baixados.
- O Debian faz um excelente trabalho ao explicar o Secure apt neste wiki página.
O que se segue é um pequeno resumo da aquisição e processo de verificação obtido a partir da página wiki do Debian.
Conceitos básicos A criptografia de chave pública é baseada em pares de chaves,
public keyeprivate key. Opublic keyé dado para o mundo; oprivate keydeve ser mantido em segredo. Alguém que possua o chave pública pode criptografar uma mensagem para que ela possa ser lida somente Alguém que possua a chave privada. Também é possível usar um chave privada para assinar um arquivo, não criptografá-lo. Se uma chave privada é usada para assinar um arquivo, qualquer pessoa que tenha a chave pública pode verificar se o arquivo foi assinado por essa chave. Ninguém que não tenha a chave privada pode falsificar tal assinatura.gpg (GNU Privacy Guard) é a ferramenta usada no seguro para assinar arquivos e verifique suas assinaturas.
apt-key é um programa que é usado para gerenciar um chaveiro de chaves gpg para seguro apt. O chaveiro é mantido no arquivo
/etc/apt/trusted.gpg(não confundir com o relacionado mas não muito interessante %código%). O apt-key pode ser usado para mostrar as chaves no chaveiro e para adicionar ou remover uma chave.Sempre que você adicionar outro repositório apt a
/etc/apt/trustdb.gpg, você também precisará dar a sua chave se quiser confiar nela. Uma vez você obteve a chave, você pode validá-la verificando a chave impressão digital e depois assinar essa chave pública com sua chave privada. Você pode adicionar a chave ao chaveiro do apt com/etc/apt/sources.list