O que é uma chave de repositório no Ubuntu e como elas funcionam?

18

Na maioria das vezes, basta adicionar um repositório de pacotes para baixar e instalar pacotes sem uma chave de repositório. Além disso, alguns repositórios exibem sua chave ao lado de suas informações, de modo que são fáceis de encontrar. Mas

  • Por que precisamos adicionar chaves se pudermos instalar pacotes sem elas?
  • Como eles funcionam no Ubuntu?
por Achu 04.05.2012 / 13:36

2 respostas

13

Eu encontrei uma boa explicação do Wiki da Ajuda da comunidade do Ubuntu .

  

"Chaves de autenticação" são geralmente obtidas do mantenedor do   repositório de software. O mantenedor frequentemente coloca uma cópia do   chave de autenticação em um servidor de chave pública, como www.keyserver.net.   A chave pode então ser recuperada usando o comando.

Autenticação do Apt

  O gerenciamento de pacotes

Apt-get usa criptografia de chave pública para   autenticar os pacotes baixados.

     
  • O Debian faz um excelente trabalho ao explicar o Secure apt neste wiki   página.
  •   

O que se segue é um pequeno resumo da aquisição e   processo de verificação obtido a partir da página wiki do Debian.

     

Conceitos básicos A criptografia de chave pública é baseada em pares de chaves,    public key e private key . O public key é dado para o   mundo; o private key deve ser mantido em segredo. Alguém que possua o   chave pública pode criptografar uma mensagem para que ela possa ser lida somente   Alguém que possua a chave privada. Também é possível usar um   chave privada para assinar um arquivo, não criptografá-lo. Se uma chave privada é usada   para assinar um arquivo, qualquer pessoa que tenha a chave pública pode verificar se o   arquivo foi assinado por essa chave. Ninguém que não tenha a chave privada   pode falsificar tal assinatura.

     

gpg (GNU Privacy Guard) é a ferramenta usada no seguro para assinar arquivos   e verifique suas assinaturas.

     

apt-key é um programa que é usado para gerenciar um chaveiro de chaves gpg para   seguro apt. O chaveiro é mantido no arquivo /etc/apt/trusted.gpg   (não confundir com o relacionado mas não muito interessante   %código%). O apt-key pode ser usado para mostrar as chaves no   chaveiro e para adicionar ou remover uma chave.

     

Sempre que você adicionar outro repositório apt a /etc/apt/trustdb.gpg ,   você também precisará dar a sua chave se quiser confiar nela. Uma vez   você obteve a chave, você pode validá-la verificando a chave   impressão digital e depois assinar essa chave pública com sua chave privada.   Você pode adicionar a chave ao chaveiro do apt com /etc/apt/sources.list

    
por Achu 04.05.2012 / 16:09
8

Você precisa de chaves de repositório para poder validar que recebeu o pacote da pessoa que você acha que está obtendo.

É para impedir que pessoas injetem pacotes ruins em suas atualizações.

Você deve adicionar chaves de repositório sempre que puder.

    
por RobotHumans 04.05.2012 / 13:38

Tags