
Me preguntaba si una clave pública agregada por apt-key
es
- por repositorio (todos los paquetes en un repositorio se autentican con la misma clave pública) o
- por paquete (diferentes paquetes en el mismo repositorio pueden autenticarse con diferentes claves públicas).
En otras palabras, ¿qué autentica una clave pública: un paquete, un repositorio o algo más?
La página de manual de apt-key
dice
apt-key se usa para administrar la lista de claves utilizadas por apt para autenticarpaquetes. Los paquetes que hayan sido autenticados utilizando estas claves se considerarán confiables.
... Es fundamental que se verifique que las claves agregadas manualmente a través de apt-key pertenecen al propietario de los repositoriosdicen ser para.
Por ejemplo, me preguntaba por qué no hay un repositorio o algo más especificado como alcance al que se aplica una clave pública.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E298A3A825C0D65DFD57CBB651716619E084DAB9
Gracias.
Respuesta1
Las claves en sí no tienen ningún alcance: cualquier clave agregada al apt
conjunto de claves se considera una clave de firma válida.
En los repositorios de estilo Debian, la firma se aplica a todo el repositorio: Release
el archivo de cada repositorio está firmado, ya sea como una firma separada ( Release.gpg
) o en línea ( InRelease
). La firma indica qué clave se utilizó para firmar el archivo (o qué claves, ya que un archivo puede firmarse con varias claves). Todo lo demás se verifica utilizando la información del Release
archivo. Ver¿Cómo se garantiza la autenticidad de los paquetes de Debian?para detalles.
Si desea especificar qué claves se deben usar para verificar un repositorio determinado, puede hacerlo en la descripción del repositorio en sources.list
, no al agregar la clave al apt
conjunto de claves; ver la Signed-By
opción enla sources.list
página de manual.