Qu'est-ce qu'une clé de référentiel sous Ubuntu et comment fonctionnent-elles?

La plupart du temps, l'ajout d'un référentiel de packages vous permet de télécharger et d'installer des packages sans clé de référentiel. Certains référentiels affichent également leur clé à côté de leurs informations afin qu'ils soient faciles à trouver. Mais

• Pourquoi devons-nous ajouter des clés si nous pouvons installer des packages sans eux?
• Comment fonctionnent-ils sous Ubuntu?

J'ai trouvé une belle explication sur le wiki d'aide de la communauté Ubuntu .

• Que sont les référentiels?

Les "clés d'authentification" sont généralement obtenues auprès du responsable du référentiel logiciel. Le responsable placera souvent une copie de la clé d'authentification sur un serveur de clés publiques tel que www.keyserver.net. La clé peut ensuite être récupérée à l'aide de la commande.

Authentification Apt

Apt-get la gestion des packages utilise la cryptographie à clé publique pour authentifier les packages téléchargés.

• Debian fait un excellent travail pour expliquer Secure apt sur cette page wiki.

Ce qui suit est un bref résumé du processus d'acquisition et de vérification des clés glané depuis la page wiki de Debian.

Concepts de base La cryptographie à clé publique est basée sur des paires de clés, a public keyet a private key. Le public keyest donné au monde; le private keydoit être gardé secret. Toute personne possédant la clé publique peut crypter un message afin qu'il ne puisse être lu que par une personne possédant la clé privée. Il est également possible d'utiliser une clé privée pour signer un fichier, pas de le crypter. Si une clé privée est utilisée pour signer un fichier, toute personne disposant de la clé publique peut vérifier que le fichier a été signé par cette clé. Personne qui n'a pas la clé privée ne peut forger une telle signature.

gpg (GNU Privacy Guard) est l'outil utilisé dans Secure apt pour signer des fichiers et vérifier leurs signatures.

apt-key est un programme utilisé pour gérer un trousseau de clés gpg pour apt sécurisé. Le trousseau de clés est conservé dans le fichier /etc/apt/trusted.gpg (à ne pas confondre avec celui associé mais pas très intéressant /etc/apt/trustdb.gpg). apt-key peut être utilisé pour afficher les clés dans le trousseau de clés et pour ajouter ou supprimer une clé.

Chaque fois que vous ajoutez un autre référentiel apt à /etc/apt/sources.list, vous devrez également donner à apt sa clé si vous voulez lui faire confiance. Une fois que vous avez obtenu la clé, vous pouvez la valider en vérifiant l'empreinte digitale de la clé, puis en signant cette clé publique avec votre clé privée. Vous pouvez ensuite ajouter la clé au trousseau de clés d'apt avecapt-key add <key>

Vous avez besoin de clés de référentiel pour pouvoir valider que vous avez obtenu le package de la personne dont vous pensez qu'il provient.

C'est pour empêcher les gens d'injecter de mauvais packages dans vos mises à jour.

Vous devez ajouter des clés de référentiel chaque fois que vous le pouvez.