¿Cuál es el alcance de una clave pública agregada por apt-key?

¿Cuál es el alcance de una clave pública agregada por apt-key?

Me preguntaba si una clave pública agregada por apt-keyes

  • por repositorio (todos los paquetes en un repositorio se autentican con la misma clave pública) o
  • por paquete (diferentes paquetes en el mismo repositorio pueden autenticarse con diferentes claves públicas).

En otras palabras, ¿qué autentica una clave pública: un paquete, un repositorio o algo más?

La página de manual de apt-keydice

apt-key se usa para administrar la lista de claves utilizadas por apt para autenticarpaquetes. Los paquetes que hayan sido autenticados utilizando estas claves se considerarán confiables.

... Es fundamental que se verifique que las claves agregadas manualmente a través de apt-key pertenecen al propietario de los repositoriosdicen ser para.

Por ejemplo, me preguntaba por qué no hay un repositorio o algo más especificado como alcance al que se aplica una clave pública.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E298A3A825C0D65DFD57CBB651716619E084DAB9

Gracias.

Respuesta1

Las claves en sí no tienen ningún alcance: cualquier clave agregada al aptconjunto de claves se considera una clave de firma válida.

En los repositorios de estilo Debian, la firma se aplica a todo el repositorio: Releaseel archivo de cada repositorio está firmado, ya sea como una firma separada ( Release.gpg) o en línea ( InRelease). La firma indica qué clave se utilizó para firmar el archivo (o qué claves, ya que un archivo puede firmarse con varias claves). Todo lo demás se verifica utilizando la información del Releasearchivo. Ver¿Cómo se garantiza la autenticidad de los paquetes de Debian?para detalles.

Si desea especificar qué claves se deben usar para verificar un repositorio determinado, puede hacerlo en la descripción del repositorio en sources.list, no al agregar la clave al aptconjunto de claves; ver la Signed-Byopción enla sources.listpágina de manual.

información relacionada