Apt-get o gerenciamento de pacotes usa criptografia de chave pública para autenticar pacotes baixados.
- O Debian faz um excelente trabalho ao explicar o Secure apt nesta página wiki.
O que se segue é um breve resumo do processo de aquisição e verificação de chaves recolhido na página wiki do Debian.
Conceitos básicos A criptografia de chave pública é baseada em pares de chaves, a
public keye a private key. O public keyé dado ao mundo; o private keydeve ser mantido em segredo. Qualquer pessoa que possua a chave pública pode criptografar uma mensagem para que ela possa ser lida apenas por alguém que possua a chave privada. Também é possível usar uma chave privada para assinar um arquivo, não criptografá-lo. Se uma chave privada for usada para assinar um arquivo, qualquer pessoa que possua a chave pública poderá verificar se o arquivo foi assinado por essa chave. Ninguém que não tem a chave privada pode forjar essa assinatura.
O gpg (GNU Privacy Guard) é a ferramenta usada no apt para assinar arquivos e verificar suas assinaturas.
O apt-key é um programa usado para gerenciar um chaveiro de chaves gpg para um apt seguro. O chaveiro é mantido no arquivo /etc/apt/trusted.gpg
(não deve ser confundido com o relacionado, mas não muito interessante
/etc/apt/trustdb.gpg). O apt-key pode ser usado para mostrar as chaves no chaveiro e adicionar ou remover uma chave.
Cada vez que você adiciona outro repositório ao apt /etc/apt/sources.list, também precisará fornecer sua chave ao apt, se quiser confiar nele. Depois de obter a chave, você pode validá-la verificando a impressão digital da chave e assinando essa chave pública com sua chave privada. Você pode adicionar a chave ao chaveiro do apt comapt-key add <key>
