什么是Ubuntu下的存储库密钥,它们如何工作?

Modified on: Thu, 14 Jun 2018 04:00:53 +0800

大多数情况下,添加软件包存储库允许您在没有存储库密钥的情况下下载和安装软件包。此外,一些存储库会在其信息旁边显示其密钥,因此很容易找到它们。但是

  • 如果我们可以在没有它们的情况下安装软件包,为什么还需要添加密钥?
  • 他们如何在Ubuntu下工作?
作者:Simon,Achu

最佳答案

我在Ubuntu社区帮助Wiki中找到了一个很好的解释。

  

“验证密钥”通常是从维护者那里获得的
  软件库。维护者通常会放置一份副本
  公钥服务器上的身份验证密钥,例如www.keyserver.net。
  然后可以使用命令检索密钥。

Apt身份验证

  

Apt-get包管理使用公钥加密
  验证下载的包。

  
  

      
  • Debian在这个wiki上解释Secure apt非常出色
      页。
  •   

  
  

以下是关键获取的简短摘要
  从Debian的wiki页面收集验证过程。

  
  

基本概念公钥加密基于密钥对,a
  public keyprivate keypublic key是给出的
  世界; private key必须保密。任何拥有的人
  公钥可以加密消息,使其只能被读取
  拥有私钥的人。它也可以使用
  用于对文件进行签名的私钥,不对其进行加密。如果使用私钥
  要签署一个文件,那么拥有公钥的任何人都可以检查该文件
  文件由该密钥签名。没有人没有私钥
  可以打造这样的签名。

  
  

gpg(GNU Privacy Guard)是用于安全apt标记文件的工具
  并检查他们的签名。

  
  

apt-key是一个程序,用于管理gpg密钥的密钥环
  安全的。密钥环保存在/etc/apt/trusted.gpg文件中
  (不要混淆相关但不是很有趣
  /etc/apt/trustdb.gpg)。 apt-key可用于显示密钥
  密钥环,以及添加或删除密钥。

  
  

每次向/etc/apt/sources.list添加另一个apt存储库时,
  如果你想要相信它,你还必须给它关键。一旦
  你已经获得了密钥,你可以通过检查密钥来验证密钥
  指纹,然后使用您的私钥对此公钥进行签名。
  然后,您可以使用apt-key add <key>

将密钥添加到apt的密钥环中

作者:Achu

相关问答

添加新评论