¿Qué es una clave de repositorio en Ubuntu y cómo funcionan?

25

La mayoría de las veces, solo agregar un repositorio de paquetes le permite descargar e instalar paquetes sin una clave de repositorio. Además, algunos repositorios muestran su clave junto a su información para que sean fáciles de encontrar. Pero

  • ¿Por qué necesitamos agregar claves si podemos instalar paquetes sin ellas?
  • ¿Cómo funcionan bajo Ubuntu?
Achu
fuente

Respuestas:

20

Encontré una buena explicación en el Wiki de ayuda de la comunidad de Ubuntu .

Las "claves de autenticación" generalmente se obtienen del responsable del repositorio de software. El mantenedor a menudo colocará una copia de la clave de autenticación en un servidor de clave pública como www.keyserver.net. La clave se puede recuperar con el comando.

Autenticación apta

Apt-get La gestión de paquetes utiliza la criptografía de clave pública para autenticar los paquetes descargados.

  • Debian hace un excelente trabajo al explicar Secure apt en esta página wiki.

Lo que sigue es un breve resumen del proceso clave de adquisición y verificación recogido de la página wiki de Debian.

Conceptos básicos La criptografía de clave pública se basa en pares de claves, ay public keya private key. El public keyse entrega al mundo; El private keydebe mantenerse en secreto. Cualquier persona que posea la clave pública puede cifrar un mensaje para que solo pueda leerlo alguien que posea la clave privada. También es posible usar una clave privada para firmar un archivo, no encriptarlo. Si se utiliza una clave privada para firmar un archivo, cualquier persona que tenga la clave pública puede verificar que esa clave haya firmado el archivo. Nadie que no tenga la clave privada puede falsificar dicha firma.

gpg (GNU Privacy Guard) es la herramienta utilizada en apt seguro para firmar archivos y verificar sus firmas.

apt-key es un programa que se usa para administrar un conjunto de claves gpg para un apt seguro. El llavero se mantiene en el archivo /etc/apt/trusted.gpg (no debe confundirse con el relacionado pero no es muy interesante /etc/apt/trustdb.gpg). apt-key se puede usar para mostrar las claves en el llavero y para agregar o eliminar una clave.

Cada vez que agregue otro repositorio apto /etc/apt/sources.list, también tendrá que darle su clave a apt si desea confiar en él. Una vez que haya obtenido la clave, puede validarla verificando la huella digital de la clave y luego firmando esta clave pública con su clave privada. Luego puede agregar la clave al llavero de apt conapt-key add <key>

Achu
fuente
10

Necesita claves de repositorio para poder validar que recibió el paquete de la persona de la que cree que lo está obteniendo.

Es para evitar que la gente inyecte paquetes defectuosos en sus actualizaciones.

Debe agregar claves de repositorio siempre que pueda.

RobotHumanos
fuente