Was ist ein Repository-Schlüssel unter Ubuntu und wie funktionieren sie?

25

Meistens können Sie durch Hinzufügen eines Paket-Repositorys Pakete ohne einen Repository-Schlüssel herunterladen und installieren. Außerdem zeigen einige Repositorys ihren Schlüssel neben ihren Informationen an, damit sie leicht zu finden sind. Aber

  • Warum müssen wir Schlüssel hinzufügen, wenn wir Pakete ohne diese installieren können?
  • Wie arbeiten sie unter Ubuntu?
repository 
Achu
quelle

Antworten:

20

Ich habe eine nette Erklärung im Ubuntu Community Help Wiki gefunden .

"Authentifizierungsschlüssel" werden normalerweise vom Verwalter des Software-Repositorys bezogen. Der Betreuer legt häufig eine Kopie des Authentifizierungsschlüssels auf einem Server mit öffentlichem Schlüssel wie www.keyserver.net ab. Der Schlüssel kann dann mit dem Befehl abgerufen werden.

Passende Authentifizierung

Apt-get Die Paketverwaltung verwendet die Verschlüsselung mit öffentlichen Schlüsseln, um heruntergeladene Pakete zu authentifizieren.

  • Debian leistet hervorragende Arbeit, um Secure apt auf dieser Wiki-Seite zu erklären.

Was folgt, ist eine kurze Zusammenfassung des Schlüsselerfassungs- und Verifizierungsprozesses, die von Debians Wiki-Seite entnommen wurde.

Grundlegende Konzepte Die Kryptografie mit öffentlichen Schlüsseln basiert auf den Schlüsselpaaren a public keyund a private key. Das public keywird der Welt ausgehändigt; das private keymuss geheim gehalten werden. Jeder, der über den öffentlichen Schlüssel verfügt, kann eine Nachricht verschlüsseln, sodass sie nur von jemandem gelesen werden kann, der über den privaten Schlüssel verfügt. Es ist auch möglich, einen privaten Schlüssel zum Signieren einer Datei zu verwenden, nicht zum Verschlüsseln. Wenn ein privater Schlüssel zum Signieren einer Datei verwendet wird, kann jeder, der über den öffentlichen Schlüssel verfügt, überprüfen, ob die Datei mit diesem Schlüssel signiert wurde. Niemand, der nicht über den privaten Schlüssel verfügt, kann eine solche Signatur fälschen.

gpg (GNU Privacy Guard) ist das in Secure Apt verwendete Tool, um Dateien zu signieren und ihre Signaturen zu überprüfen.

apt-key ist ein Programm, mit dem ein Schlüsselbund von gpg-Schlüsseln für sicheres Apt verwaltet wird. Der Schlüsselbund wird in der Datei aufbewahrt /etc/apt/trusted.gpg (nicht zu verwechseln mit dem verwandten, aber nicht sehr interessanten /etc/apt/trustdb.gpg). Mit apt-key können die Schlüssel im Schlüsselbund angezeigt und ein Schlüssel hinzugefügt oder entfernt werden.

Jedes Mal, wenn Sie ein anderes Apt-Repository hinzufügen /etc/apt/sources.list, müssen Sie auch Apt seinen Schlüssel geben, wenn Apt ihm vertrauen soll. Sobald Sie den Schlüssel erhalten haben, können Sie ihn validieren, indem Sie den Fingerabdruck des Schlüssels überprüfen und diesen öffentlichen Schlüssel mit Ihrem privaten Schlüssel signieren. Anschließend können Sie den Schlüssel mit dem Schlüsselbund von apt hinzufügenapt-key add <key>

Achu
quelle
10

Sie benötigen Repository-Schlüssel, um zu überprüfen, ob Sie das Paket von der Person erhalten haben, von der Sie glauben, dass Sie es erhalten haben.

Es soll Leute davon abhalten, schlechte Pakete in Ihre Updates einzufügen.

Sie sollten Repository-Schlüssel hinzufügen, wann immer Sie können.

RobotHumans
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.