Ist „add-apt-repository“ sicher vor einem bösartigen Netzwerk („MITM“)?

Question

Machen Sie sich über diese Ausgabe keine Sorgen.

Obwohl GPG die veraltete Schlüssel-ID ausgibt, ruft apt-add-repository den Schlüssel tatsächlich mithilfe seines 160-Bit-Fingerabdrucks ab. (Der Fingerabdruck scheint über HTTPS abgerufen zu werden.)

https://bazaar.launchpad.net/~ubuntu-core-dev/software-properties/main/annotate/head:/softwareproperties/ppa.py#L163

def verify_keyid_is_v4(signing_key_fingerprint):
    """Verify that the keyid is a v4 fingerprint with at least 160bit"""
    return len(signing_key_fingerprint) >= 160/8


class AddPPASigningKey(object):
    " thread class for adding the signing key in the background "

    GPG_DEFAULT_OPTIONS = ["gpg", "--no-default-keyring", "--no-options"]

    def __init__(self, ppa_path, keyserver=None):
        self.ppa_path = ppa_path
        self.keyserver = (keyserver if keyserver is not None
                          else DEFAULT_KEYSERVER)

    def _recv_key(self, keyring, secret_keyring, signing_key_fingerprint, keyring_dir):
        try:
            # double check that the signing key is a v4 fingerprint (160bit)
            if not verify_keyid_is_v4(signing_key_fingerprint):
                print("Error: signing key fingerprint '%s' too short" %
                    signing_key_fingerprint)
                return False

Answer 1

Machen Sie sich über diese Ausgabe keine Sorgen.

Obwohl GPG die veraltete Schlüssel-ID ausgibt, ruft apt-add-repository den Schlüssel tatsächlich mithilfe seines 160-Bit-Fingerabdrucks ab. (Der Fingerabdruck scheint über HTTPS abgerufen zu werden.)

https://bazaar.launchpad.net/~ubuntu-core-dev/software-properties/main/annotate/head:/softwareproperties/ppa.py#L163

def verify_keyid_is_v4(signing_key_fingerprint):
    """Verify that the keyid is a v4 fingerprint with at least 160bit"""
    return len(signing_key_fingerprint) >= 160/8


class AddPPASigningKey(object):
    " thread class for adding the signing key in the background "

    GPG_DEFAULT_OPTIONS = ["gpg", "--no-default-keyring", "--no-options"]

    def __init__(self, ppa_path, keyserver=None):
        self.ppa_path = ppa_path
        self.keyserver = (keyserver if keyserver is not None
                          else DEFAULT_KEYSERVER)

    def _recv_key(self, keyring, secret_keyring, signing_key_fingerprint, keyring_dir):
        try:
            # double check that the signing key is a v4 fingerprint (160bit)
            if not verify_keyid_is_v4(signing_key_fingerprint):
                print("Error: signing key fingerprint '%s' too short" %
                    signing_key_fingerprint)
                return False

Ist „add-apt-repository“ sicher vor einem bösartigen Netzwerk („MITM“)?

Antwort1

verwandte Informationen