¿Qué es GPG?
GPG, o GNU Privacy Guard , es un conjunto de software criptográfico. Se puede utilizar para cifrar o firmar datos y comunicaciones para garantizar su autenticidad.
Este tipo de criptografía se basa en pares de claves. Una clave pública está alojada en un servidor de claves (por ejemplo, keyserver.ubuntu.com) y la clave privada se mantiene en secreto. Usando la clave pública, uno puede verificar la firma hecha por una clave privada. Del mismo modo, conocer la clave pública de alguien le permitirá cifrar un mensaje que solo puede ser leído por el titular de la clave secreta correspondiente.
Lectura adicional: GnuPG para uso diario (un mini tutorial)
¿Qué tiene esto que ver conmigo?
En este contexto, el repositorio de apt desde el que está descargando un paquete debe estar firmado por una clave secreta para que pueda verificar que los paquetes que está instalando provienen de donde dicen que están.
El archivo real en el repositorio que está firmado es el Release
archivo. Este archivo contiene las sumas de verificación de varios otros archivos en el repositorio. Por ejemplo, aquí está el archivo para el repositorio oficial de Ubuntu 12.10 y su firma GPG correspondiente . Cuando instala un paquete, apt
verifica la firma.
Lectura adicional: todo sobre apt seguro
Problemas comunes
La clave pública para el archivo oficial de Ubuntu ya la conoce su computadora, pero si desea agregar un PPA o un repositorio de terceros, debe importar su clave. Si intenta actualizar un repositorio cuya clave no tiene, verá advertencias como:
W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965
Cuando instale un paquete desde ese repositorio, también recibirá una advertencia:
WARNING: The following packages cannot be authenticated!
dropbox
Install these packages without verification [y/N]?
Si bien estas advertencias se pueden silenciar ejecutando apt
con la --allow-unauthenticated
bandera, pero es mejor agregar la clave a su sistema para que pueda aprovechar la seguridad adicional.
Al agregar un PPA , debe usar la add-apt-repository
herramienta, ya que esto se encargará automáticamente de agregar la clave por usted. Si necesita agregar la clave manualmente, use el siguiente comando:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE
Si prefiere hacerlo sin usar el terminal, consulte esta respuesta .