Che cos'è una chiave di repository in Ubuntu e come funzionano?

Il più delle volte, l'aggiunta di un repository di pacchetti consente di scaricare e installare i pacchetti senza una chiave di repository. Inoltre alcuni repository visualizzano la loro chiave accanto alle loro informazioni in modo che siano facili da trovare. Ma

• Perché dobbiamo aggiungere le chiavi se possiamo installare pacchetti senza di loro?
• Come funzionano con Ubuntu?

Ho trovato una bella spiegazione nella Wiki della community di Ubuntu .

• Cosa sono i repository?

Le "chiavi di autenticazione" sono generalmente ottenute dal manutentore del repository software. Il manutentore posizionerà spesso una copia della chiave di autenticazione su un server di chiavi pubbliche come www.keyserver.net. La chiave può quindi essere recuperata usando il comando.

Autenticazione APT

Apt-get la gestione dei pacchetti utilizza la crittografia a chiave pubblica per autenticare i pacchetti scaricati.

• Debian fa un ottimo lavoro nel spiegare Secure apt su questa pagina wiki.

Quello che segue è un breve riassunto del processo di acquisizione e verifica delle chiavi ricavato dalla pagina wiki di Debian.

Concetti di base La crittografia a chiave pubblica si basa su coppie di chiavi, a public keye a private key. Il public keyè dato al mondo; il private keydeve essere tenuto segreto. Chiunque possieda la chiave pubblica può crittografare un messaggio in modo che possa essere letto solo da chi possiede la chiave privata. È anche possibile utilizzare una chiave privata per firmare un file, non crittografarlo. Se viene utilizzata una chiave privata per firmare un file, chiunque disponga della chiave pubblica può verificare che il file sia stato firmato da quella chiave. Nessuno che non ha la chiave privata può falsificare tale firma.

gpg (GNU Privacy Guard) è lo strumento utilizzato in apt sicuro per firmare i file e controllarne le firme.

apt-key è un programma che viene utilizzato per gestire un keyring di chiavi gpg per apt sicuro. Il portachiavi è conservato nel file /etc/apt/trusted.gpg (da non confondere con il relativo ma non molto interessante /etc/apt/trustdb.gpg). apt-key può essere usato per mostrare le chiavi nel portachiavi e per aggiungere o rimuovere una chiave.

Ogni volta che aggiungi un altro repository apt /etc/apt/sources.list, dovrai anche fornire a apt la sua chiave se vuoi che ti fidi di esso. Una volta ottenuta la chiave, è possibile convalidarla controllando l'impronta digitale della chiave e quindi firmando questa chiave pubblica con la chiave privata. È quindi possibile aggiungere la chiave al portachiavi di apt conapt-key add <key>

Sono necessarie le chiavi del repository in modo da poter convalidare di aver ricevuto il pacchetto dalla persona da cui si pensa di riceverlo.

È per impedire alle persone di iniettare pacchetti errati nei tuoi aggiornamenti.

È necessario aggiungere le chiavi del repository ogni volta che è possibile.