¿Cuáles son las firmas GPG?

11

Mirando preguntas como ESTO , ESTO y ESTO , pido conocimiento público las siguientes preguntas:

  1. ¿Para qué son las firmas GPG?

  2. ¿Qué nivel adicional de seguridad agregan o proporcionan las Firmas a los usuarios?

  3. ¿Cuáles son algunos de los problemas comunes asociados con las firmas GPG con PPA en Launchpad y por qué se producen?

apt repository launchpad gnupg Luis Alvarado
fuente

Respuestas:

9

¿Qué es GPG?

GPG, o GNU Privacy Guard , es un conjunto de software criptográfico. Se puede utilizar para cifrar o firmar datos y comunicaciones para garantizar su autenticidad.

Este tipo de criptografía se basa en pares de claves. Una clave pública está alojada en un servidor de claves (por ejemplo, keyserver.ubuntu.com) y la clave privada se mantiene en secreto. Usando la clave pública, uno puede verificar la firma hecha por una clave privada. Del mismo modo, conocer la clave pública de alguien le permitirá cifrar un mensaje que solo puede ser leído por el titular de la clave secreta correspondiente.

Lectura adicional: GnuPG para uso diario (un mini tutorial)

¿Qué tiene esto que ver conmigo?

En este contexto, el repositorio de apt desde el que está descargando un paquete debe estar firmado por una clave secreta para que pueda verificar que los paquetes que está instalando provienen de donde dicen que están.

El archivo real en el repositorio que está firmado es el Releasearchivo. Este archivo contiene las sumas de verificación de varios otros archivos en el repositorio. Por ejemplo, aquí está el archivo para el repositorio oficial de Ubuntu 12.10 y su firma GPG correspondiente . Cuando instala un paquete, aptverifica la firma.

Lectura adicional: todo sobre apt seguro

Problemas comunes

La clave pública para el archivo oficial de Ubuntu ya la conoce su computadora, pero si desea agregar un PPA o un repositorio de terceros, debe importar su clave. Si intenta actualizar un repositorio cuya clave no tiene, verá advertencias como:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Cuando instale un paquete desde ese repositorio, también recibirá una advertencia:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

Si bien estas advertencias se pueden silenciar ejecutando aptcon la --allow-unauthenticatedbandera, pero es mejor agregar la clave a su sistema para que pueda aprovechar la seguridad adicional.

Al agregar un PPA , debe usar la add-apt-repositoryherramienta, ya que esto se encargará automáticamente de agregar la clave por usted. Si necesita agregar la clave manualmente, use el siguiente comando:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Si prefiere hacerlo sin usar el terminal, consulte esta respuesta .

andrewsomething
fuente