Ich habe mich gefragt, ob ein öffentlicher Schlüssel hinzugefügt wird apt-keyvon
- pro Repository (alle Pakete in einem Repository werden mit demselben öffentlichen Schlüssel authentifiziert) oder
- pro Paket (verschiedene Pakete im selben Repository können mit unterschiedlichen öffentlichen Schlüsseln authentifiziert werden).
Mit anderen Worten: Was authentifiziert ein öffentlicher Schlüssel: ein Paket, ein Repository oder etwas anderes?
Die Manpage von apt-keysagt
apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung verwendet werdenPakete. Pakete, die mit diesen Schlüsseln authentifiziert wurden, gelten als vertrauenswürdig.
... Es ist wichtig, dass manuell über apt-key hinzugefügte Schlüssel überprüft werden, um sicherzustellen, dass sie dem Eigentümer von die RepositorienSie behaupten, dafür zu sein.
Ich habe mich zum Beispiel gefragt, warum kein Repository oder etwas anderes als Bereich angegeben ist, auf den ein öffentlicher Schlüssel anwendbar ist?
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E298A3A825C0D65DFD57CBB651716619E084DAB9
Danke.
Antwort1
Für die Schlüssel selbst besteht kein Gültigkeitsbereich: Jeder zum aptSchlüsselbund hinzugefügte Schlüssel wird als gültiger Signaturschlüssel betrachtet.
In Debian-Repositories gilt die Signatur für das gesamte Repository: Jede ReleaseDatei des Repositorys wird signiert, entweder als separate Signatur ( Release.gpg) oder Inline-Signatur ( InRelease). Die Signatur gibt an, welcher Schlüssel zum Signieren der Datei verwendet wurde (oder welche Schlüssel, da eine Datei mit mehreren Schlüsseln signiert werden kann). Alles andere wird anhand der Informationen in der ReleaseDatei überprüft. SieheWie wird die Authentizität von Debian-Paketen garantiert?für Details.
Wenn Sie angeben möchten, welche Schlüssel zur Überprüfung eines bestimmten Repositorys verwendet werden sollen, können Sie dies in der Repository-Beschreibung in tun sources.list, nicht beim Hinzufügen des Schlüssels zum aptSchlüsselbund von ; siehe die Signed-ByOption indie sources.listManpage.