Quelles sont les signatures GPG

11

En regardant des questions comme CECI , CECI et CECI, je demande au public de répondre aux questions suivantes:

  1. À quoi servent les signatures GPG?

  2. Quel niveau de sécurité supplémentaire les signatures ajoutent-elles ou fournissent-elles aux utilisateurs?

  3. Quels sont certains des problèmes courants associés aux signatures GPG avec PPA dans Launchpad et pourquoi sont-ils produits?

Luis Alvarado
la source

Réponses:

9

Qu'est-ce que GPG?

GPG, ou GNU Privacy Guard , est une suite de logiciels cryptographiques. Il peut être utilisé pour crypter ou signer des données et des communications pour garantir leur authenticité.

Ce type de cryptographie est basé sur des paires de clés. Une clé publique est hébergée sur un serveur de clés (par exemple keyserver.ubuntu.com) et la clé privée est gardée secrète. En utilisant la clé publique, on peut vérifier la signature faite par une clé privée. De même, connaître la clé publique de quelqu'un vous permettra de crypter un message qui ne peut être lu que par le détenteur de la clé secrète correspondante.

Lectures complémentaires: GnuPG pour une utilisation quotidienne (un mini-guide ...)

Qu'est-ce que cela a à voir avec moi?

Dans ce contexte, le référentiel apt à partir duquel vous téléchargez un package doit être signé par une clé secrète afin que vous puissiez vérifier que les packages que vous installez proviennent de l'endroit où ils le disent.

Le fichier réel dans le référentiel qui est signé est le Releasefichier. Ce fichier contient les sommes de contrôle d'un certain nombre d'autres fichiers dans le référentiel. Par exemple, voici le fichier du référentiel officiel Ubuntu 12.10 et sa signature GPG correspondante . Lorsque vous installez un package, aptvérifie la signature.

Lectures complémentaires: Tout sur les apt sécurisés

Problèmes courants

La clé publique de l'archive officielle Ubuntu est déjà connue de votre ordinateur, mais si vous souhaitez ajouter un PPA ou un référentiel tiers, vous devez importer leur clé. Si vous essayez de mettre à jour un référentiel dont vous n'avez pas la clé, vous verrez des avertissements comme:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Lorsque vous installez un package à partir de ce référentiel, vous recevrez également un avertissement:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

Bien que ces avertissements puissent être réduits au silence en exécutant aptl' --allow-unauthenticatedindicateur, il est préférable d'ajouter la clé à votre système afin que vous puissiez profiter de la sécurité supplémentaire.

Lorsque vous ajoutez un PPA, vous devez utiliser l' add-apt-repositoryoutil, car il gérera automatiquement l'ajout de la clé pour vous. Si vous devez ajouter la clé manuellement, utilisez la commande suivante:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Si vous préférez le faire sans utiliser le terminal, consultez cette réponse .

andrewsomething
la source