Was sind die GPG-Signaturen?


11

Wenn ich Fragen wie DIESES , DIESES und DIESES betrachte, stelle ich der Öffentlichkeit folgende Fragen:

  1. Wofür sind die GPG-Signaturen?

  2. Welche zusätzliche Sicherheitsstufe fügen die Signaturen den Benutzern hinzu oder bieten sie ihnen?

  3. Was sind einige der häufigsten Probleme im Zusammenhang mit GPG-Signaturen mit PPAs in Launchpad und warum werden sie erstellt?

Antworten:


9

Was ist GPG?

GPG oder GNU Privacy Guard ist eine Suite kryptografischer Software. Es kann zum Verschlüsseln oder Signieren von Daten und Kommunikationen verwendet werden, um deren Authentizität sicherzustellen.

Diese Art der Kryptographie basiert auf Schlüsselpaaren. Ein öffentlicher Schlüssel wird auf einem Schlüsselserver (z. B. keyserver.ubuntu.com) gehostet und der private Schlüssel wird geheim gehalten. Mit dem öffentlichen Schlüssel kann die Signatur eines privaten Schlüssels überprüft werden. Wenn Sie den öffentlichen Schlüssel einer Person kennen, können Sie eine Nachricht verschlüsseln, die nur vom Inhaber des entsprechenden geheimen Schlüssels gelesen werden kann.

Weiterführende Literatur: GnuPG für den täglichen Gebrauch (eine Mini-Anleitung ...)

Was hat das mit mir zu tun?

In diesem Zusammenhang sollte das apt-Repository, von dem Sie ein Paket herunterladen, mit einem geheimen Schlüssel signiert sein, damit Sie überprüfen können, ob die von Ihnen installierten Pakete von dem Ort stammen, an dem sie sich befinden.

Die tatsächliche Datei im Repository, die signiert ist, ist die ReleaseDatei. Diese Datei enthält die Prüfsummen einer Reihe anderer Dateien im Repository. Zum Beispiel, hier ist die Datei für offizielle Ubuntu 12.10 Repository und seine entsprechenden GPG - Signatur . aptÜberprüft bei der Installation eines Pakets die Signatur.

Weiterführende Literatur: Alles über sichere Wohnung

Häufige Probleme

Der öffentliche Schlüssel für das offizielle Ubuntu-Archiv ist Ihrem Computer bereits bekannt. Wenn Sie jedoch eine PPA oder ein Repository eines Drittanbieters hinzufügen möchten, müssen Sie deren Schlüssel importieren. Wenn Sie versuchen, ein Repository zu aktualisieren, dessen Schlüssel Sie nicht haben, werden folgende Warnungen angezeigt:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Wenn Sie ein Paket aus diesem Repository installieren, erhalten Sie außerdem eine Warnung:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

Diese Warnungen können zwar durch Ausführen aptmit dem --allow-unauthenticatedFlag stummgeschaltet werden, es ist jedoch besser, den Schlüssel zu Ihrem System hinzuzufügen, damit Sie die zusätzliche Sicherheit nutzen können.

Wenn Sie eine PPA hinzufügen , sollten Sie das add-apt-repositoryTool verwenden, da dies automatisch das Hinzufügen des Schlüssels für Sie übernimmt. Wenn Sie den Schlüssel manuell hinzufügen müssen, verwenden Sie den folgenden Befehl:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Wenn Sie dies lieber ohne Verwendung des Terminals tun möchten, konsultieren Sie diese Antwort .

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.