Apa itu kunci repositori di bawah Ubuntu dan bagaimana cara kerjanya?

25

Sebagian besar waktu hanya menambahkan repositori paket memungkinkan Anda untuk mengunduh dan menginstal paket tanpa kunci repositori. Juga beberapa repositori menampilkan kunci mereka di sebelah informasi mereka sehingga mudah ditemukan. Tapi

  • Mengapa kita perlu menambahkan kunci jika kita dapat menginstal paket tanpa itu?
  • Bagaimana cara kerjanya di bawah Ubuntu?
Achu
sumber

Jawaban:

20

Saya menemukan penjelasan yang bagus dari Wiki Bantuan Komunitas Ubuntu .

"Kunci otentikasi" biasanya diperoleh dari pengelola repositori perangkat lunak. Pemelihara sering akan menempatkan salinan kunci otentikasi pada server kunci publik seperti www.keyserver.net. Kunci kemudian dapat diambil menggunakan perintah.

Otentikasi Apt

Apt-get manajemen paket menggunakan kriptografi kunci publik untuk mengotentikasi paket yang diunduh.

  • Debian melakukan pekerjaan yang sangat baik untuk menjelaskan Secure apt di halaman wiki ini.

Berikut ini adalah ringkasan singkat dari proses akuisisi dan verifikasi kunci yang diperoleh dari halaman wiki Debian.

Konsep Dasar Kriptografi kunci publik didasarkan pada pasangan kunci, a public keydan a private key. Itu public keydiberikan kepada dunia; yang private keyharus dirahasiakan. Siapa pun yang memiliki kunci publik dapat mengenkripsi pesan sehingga hanya dapat dibaca oleh seseorang yang memiliki kunci pribadi. Dimungkinkan juga untuk menggunakan kunci pribadi untuk menandatangani file, bukan mengenkripsi file itu. Jika kunci pribadi digunakan untuk menandatangani file, maka siapa pun yang memiliki kunci publik dapat memeriksa apakah file tersebut ditandatangani oleh kunci itu. Tidak seorang pun yang tidak memiliki kunci pribadi dapat memalsukan tanda tangan seperti itu.

gpg (GNU Privacy Guard) adalah alat yang digunakan secara aman untuk menandatangani file dan memeriksa tanda tangan mereka.

apt-key adalah program yang digunakan untuk mengelola keyring dari kunci gpg untuk apt. Keyring disimpan dalam file /etc/apt/trusted.gpg (jangan dikelirukan dengan yang terkait tetapi tidak terlalu menarik /etc/apt/trustdb.gpg). apt-key dapat digunakan untuk menunjukkan kunci dalam keyring, dan untuk menambah atau menghapus kunci.

Setiap kali Anda menambahkan repositori apt yang lain /etc/apt/sources.list, Anda juga harus memberikan apt kuncinya jika Anda ingin memercayainya. Setelah memperoleh kunci, Anda dapat memvalidasinya dengan memeriksa sidik jari kunci dan kemudian menandatangani kunci publik ini dengan kunci pribadi Anda. Anda kemudian dapat menambahkan kunci ke keyring apt denganapt-key add <key>

Achu
sumber
10

Anda memerlukan kunci repositori sehingga Anda dapat memvalidasi Anda mendapatkan paket dari orang yang Anda pikir Anda mendapatkannya.

Ini untuk menjaga orang agar tidak menyuntikkan paket buruk ke dalam pembaruan Anda.

Anda harus menambahkan kunci repositori kapan pun Anda bisa.

RobotHumans
sumber