追加された公開鍵apt-keyは
- リポジトリごと(リポジトリ内のすべてのパッケージは同じ公開鍵で認証されます)または
- パッケージごと(同じリポジトリ内の異なるパッケージは、異なる公開鍵で認証される場合があります)。
言い換えると、公開鍵は何を認証するのでしょうか: パッケージ、リポジトリ、それとも何か他のものでしょうか?
のmanページにはapt-keyこう書かれている
apt-keyはaptが認証に使用するキーのリストを管理するために使用されますパッケージこれらのキーを使用して認証されたパッケージは信頼できるものと見なされます。
...apt-keyを介して手動で追加されたキーが所有者に属していることを確認することが重要です。 リポジトリ彼らはそう主張している。
例えば、公開鍵が適用可能な範囲としてリポジトリなどが指定されていないのはなぜでしょうか?
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E298A3A825C0D65DFD57CBB651716619E084DAB9
ありがとう。
答え1
キー自体にはまったくスコープが設定されていません。aptキーリングに追加されたキーはすべて有効な署名キーと見なされます。
Debian スタイルのリポジトリでは、署名はリポジトリ全体に適用されます。各リポジトリのReleaseファイルは、分離署名 ( Release.gpg) またはインライン署名 ( InRelease) のいずれかとして署名されます。署名は、ファイルの署名に使用されたキー (または、ファイルは複数のキーで署名できるため、どのキーか) を示します。その他すべては、Releaseファイル内の情報を使用して検証されます。Debian パッケージの信頼性はどのように保証されますか?詳細については。
特定のリポジトリを検証するためにどのキーを使用するかを指定したい場合は、のキーリングsources.listにキーを追加するときではなく、のリポジトリの説明で行うことができます。のオプションを参照してください。aptSigned-Byマンsources.listページ。