Quais são as assinaturas GPG

11

Olhando para perguntas como ISSO , ISSO e ISSO , peço ao conhecimento público as seguintes perguntas:

  1. Para que servem as assinaturas GPG?

  2. Qual nível de segurança adicional as assinaturas adicionam ou fornecem aos usuários?

  3. Quais são alguns dos problemas comuns associados às assinaturas GPG com PPAs no Launchpad e por que eles são produzidos?

Luis Alvarado
fonte

Respostas:

9

O que é GPG?

GPG, ou GNU Privacy Guard , é um conjunto de software criptográfico. Pode ser usado para criptografar ou assinar dados e comunicações para garantir sua autenticidade.

Esse tipo de criptografia é baseado em pares de chaves. Uma chave pública está hospedada em um servidor de chaves (por exemplo, keyserver.ubuntu.com) e a chave privada é mantida em segredo. Usando a chave pública, é possível verificar a assinatura feita por uma chave privada. Da mesma forma, conhecer a chave pública de alguém permitirá que você criptografe uma mensagem que só pode ser lida pelo titular da chave secreta correspondente.

Leitura Adicional: GnuPG para Uso Diário (um Mini Como Fazer ...)

O que isso tem a ver comigo?

Nesse contexto, o repositório apt do qual você está baixando um pacote deve ser assinado por uma chave secreta para que você possa verificar se os pacotes que você está instalando são de onde eles dizem que estão.

O arquivo real no repositório assinado é o Releasearquivo. Este arquivo contém as somas de verificação de vários outros arquivos no repositório. Por exemplo, aqui está o arquivo para o repositório oficial Ubuntu 12.10 e sua assinatura GPG correspondente . Quando você instala um pacote, aptverifica a assinatura.

Leitura adicional: Tudo sobre o apt apt

Problemas comuns

A chave pública para o arquivo oficial do Ubuntu já é conhecida pelo seu computador, mas se você deseja adicionar um PPA ou repositório de terceiros, deve importar a chave. Se você tentar atualizar um repositório cuja chave você não possui, você verá avisos como:

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

Ao instalar um pacote desse repositório, você também receberá um aviso:

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

Embora esses avisos possam ser silenciados executando-se aptcom o --allow-unauthenticatedsinalizador, é melhor adicionar a chave ao seu sistema para que você possa tirar proveito da segurança adicionada.

Ao adicionar um PPA, você deve usar a add-apt-repositoryferramenta, pois isso tratará automaticamente da adição da chave para você. Se você precisar adicionar a chave manualmente, use o seguinte comando:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

Se você preferir fazer isso sem usar o terminal, consulte esta resposta .

andrewsomething
fonte