Apa saja tanda tangan GPG

11

Melihat pertanyaan-pertanyaan seperti INI , INI dan INI saya meminta pengetahuan publik pertanyaan-pertanyaan berikut:

  1. Untuk apa tanda tangan GPG?

  2. Tingkat keamanan tambahan apa yang ditambahkan atau disediakan Signatures kepada pengguna?

  3. Apa saja masalah umum yang terkait dengan Tanda Tangan GPG dengan PPA di Launchpad dan mengapa itu diproduksi?

Luis Alvarado
sumber

Jawaban:

9

Apa itu GPG?

GPG, atau GNU Privacy Guard , adalah paket perangkat lunak kriptografi. Ini dapat digunakan untuk mengenkripsi atau menandatangani data dan komunikasi untuk memastikan keasliannya.

Jenis kriptografi ini didasarkan pada pasangan kunci. Kunci publik di-host di server kunci (mis. Keyserver.ubuntu.com) dan kunci pribadi dirahasiakan. Menggunakan kunci publik, seseorang dapat memverifikasi tanda tangan yang dibuat oleh kunci pribadi. Demikian juga, mengetahui kunci publik seseorang akan memungkinkan Anda untuk mengenkripsi pesan yang hanya bisa dibaca oleh pemegang kunci rahasia yang sesuai.

Bacaan Lebih Lanjut: GnuPG untuk Penggunaan Harian (Mini How-To ...)

Apa hubungannya ini dengan saya?

Dalam konteks ini, repositori apt yang Anda unduh dari sebuah paket harus ditandatangani oleh kunci rahasia sehingga Anda dapat memverifikasi bahwa paket yang Anda instal berasal dari tempat mereka mengatakannya.

File aktual di repositori yang ditandatangani adalah Releasefile. File ini berisi checksum dari sejumlah file lain di repositori. Sebagai contoh, berikut adalah file untuk repositori resmi Ubuntu 12.10 dan tanda tangan GPG yang sesuai . Saat Anda menginstal paket, aptverifikasi tanda tangan.

Bacaan Lebih Lanjut: Semua tentang apt

Masalah umum

Kunci publik untuk arsip resmi Ubuntu sudah diketahui oleh komputer Anda, tetapi jika Anda ingin menambahkan PPA atau repositori pihak ketiga, Anda harus mengimpor kunci mereka. Jika Anda mencoba memperbarui repositori yang kuncinya tidak Anda miliki, Anda akan melihat peringatan seperti:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Ketika Anda menginstal paket dari repositori itu, Anda juga akan menerima peringatan:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

Meskipun peringatan ini dapat dibungkam dengan menjalankannya aptdengan --allow-unauthenticatedbendera, tetapi lebih baik menambahkan kunci ke sistem Anda sehingga Anda dapat memanfaatkan keamanan tambahan tersebut.

Saat menambahkan PPA, Anda harus menggunakan add-apt-repositoryalat karena ini akan secara otomatis menangani menambahkan kunci untuk Anda. Jika Anda perlu menambahkan kunci secara manual, gunakan perintah berikut:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Jika Anda lebih suka melakukannya tanpa menggunakan terminal, lihat jawaban ini .

andrewsomething
sumber