AUR에는 설치하려고 하면 다음과 같은 오류가 발생하는 패키지가 많이 있습니다.==> ERROR: One or more PGP signatures could not be verified!
이 문제는 gpg --recv-keys 123456789ABCDEF. AUR 토론은 종종 열쇠를 제공합니다.
이에 대해 몇 가지 질문이 있습니다.
이 키의 역할은 정확히 무엇인가요? GPG로 검증하는 것은 무엇이며, 왜 필요한가요?
키를 직접 가져와야 하는 이유는 무엇입니까? 왜 자동화할 수 없나요?
AUR 주석 스레드에서 무작정 키를 가져오는 것이 좋지 않은 경우 키를 "확인"하려면 어떤 단계를 수행해야 합니까?
아무도 댓글에 키를 게시하려고 하지 않고 댓글을 게시할 시간이 없고 관리자가 답변하기를 바라는 경우 키를 어디서 찾을 수 있나요?
온라인으로 검색해 보니 다음과 같은 언급이 있었습니다.잘 알려진 블로그 게시물. 여러 번 주의 깊게 읽어본 후에도 위의 사항을 여전히 이해하지 못한다는 사실이 안타깝습니다.
답변1
이 키의 역할은 정확히 무엇인가요? GPG로 검증하는 것은 무엇이며, 왜 필요한가요?
키는 다운로드 중인 소프트웨어가 공격자가 성공적으로 침투했을 수 있는 저장소 서버의 트로이 목마 악성 코드 대신 패키지 작성자가 의도한 소프트웨어인지 확인하는 데 사용됩니다. 또는 공격자가 다운로드 요청을 실제 AUR 저장소 대신 위장한 악성 코드 저장소로 리디렉션할 수도 있습니다. GPG에 의한 검증으로 인해 공격자가 소프트웨어 저장소를 맬웨어 배포 채널로 성공적으로 사용하는 것이 매우 어렵습니다.
키를 직접 가져와야 하는 이유는 무엇입니까? 왜 자동화할 수 없나요?
특정 소프트웨어 작성자/패키저를 신뢰할 수 있는지 여부, 그리고 귀하가 받은 키가 사기꾼이 아닌 진짜 키라는 점을 귀하의 목적에 맞게 확신할 수 있는지 여부를 의식적으로 선택해야 합니다.
필요한 신뢰 및 신뢰 수준은 귀하가 하고 있는 일에 따라 다릅니다. 재미를 위한 개인 홈 시스템, 다른 사람의 건강 및/또는 비즈니스를 위한 신용 카드 정보를 처리하는 서버, 국가 미사일 방어 시스템을 위한 보조 지원 서버 각각 다소 다른 요구 사항이 있어야 합니다.
AUR 주석 스레드에서 무작정 키를 가져오는 것이 좋지 않은 경우 키를 "확인"하려면 어떤 단계를 수행해야 합니까?
귀하가 이미 키를 갖고 있는 다른 사람이 키에 서명했고 적어도 GPG 키 서명과 관련하여 그 사람의 판단을 신뢰한다면 이를 키가 진짜일 가능성이 있다는 증거로 받아들일 수 있습니다. 그렇지 않으면 여러 다른 소스에서 키를 가져와 결과를 비교할 수도 있습니다. 그것이 당신에게 충분히 중요하다면, 당신이 올바른 키를 가지고 있는지 더 확실하게 확인하기 위해 개발자에게 전화하거나 만날 수도 있습니다.
아무도 댓글에 키를 게시하려고 하지 않고 댓글을 게시할 시간이 없고 관리자가 답변하기를 바라는 경우 키를 어디서 찾을 수 있나요?
널리 사용되도록 의도된 GPG 공개 키는 일반적으로 SKS 키 서버에 게시됩니다. 올바른 키가 없는 경우 패키지 도구는 필요한 키의 keyID를 표시할 수 있어야 하며 이를 사용하여 검색할 수 있습니다. 키서버의 키.
SKS 키서버 네트워크에 대한 자세한 내용은 여기를 참조하세요.https://sks-keyservers.net/
Google에서 keyID를 검색할 수도 있습니다.
답변2
TL;DR - 새롭고 강화되었으며 자동화된 "웹사이트에 게시된 목록과 비교하여 다운로드의 md5sum을 확인하세요"
서명은 패키지가 만들어진 이후 수정되지 않았다는 확신을 가지고 패키지에 서명한 사람을 디지털 방식으로 확인하는 것입니다. 일반적으로 패키지 관리자나 릴리스 관리자 또는 배포 핵심 프로젝트 유지 관리 그룹의 "권한"을 가진 사람이 서명합니다. 본질적으로 이는 설치하려는 항목에 대한 강화되고 자동화된 무결성 검사입니다. 새로운 "파일 목록의 md5sum 해시를 게시했습니다. 다운로드한 항목과 비교해야 합니다."
작동 방식은 공개/개인 키입니다. 저는 비밀번호(강력한 비밀번호)를 사용하여 개인 키를 만들고 이를 사용하여 공개 키를 생성합니다. 공개키를 공개할 수 있어요. 패키지를 생성하고 서명한 후 설치하면 ABC321FF와 일치하는 공개 키 또는 서명을 확인하는 데 필요한 것이 무엇인지 묻는 메시지가 표시됩니다. 키를 가져오면 사용자 측의 소프트웨어가 식별 해시가 동일하고 해시가 내 개인 키로 서명되었는지 확인할 수 있습니다.
저장소에서 시스템에 소프트웨어를 추가할 때 보안 문제는 "이 소프트웨어 뒤에 있는 사람이 누구인지, 그리고 핵심도 마찬가지"입니다. 배포용 키인 경우(일부 릴리스에는 자체 키가 있거나 새 키를 취소하고 생성한 경우) 상관없습니다. 어쨌든 해당 배포판에서 소프트웨어를 실행하고 있는 것입니다. 제3자 저장소(예: Ubuntu 및 프로젝트 PPA)에 들어가면 결국 각각에 대한 키를 가져오게 되며 이는 문제가 될 수 있습니다.
알아야 할 점은 해당 키가 이제 해당 키가 서명한 다른 모든 항목에 대해 작동한다는 것입니다. 편집증 수준에 따라 필요에 따라 키를 추가하고 패키지 설치가 끝나면 신뢰할 수 있는 키 목록에서 해당 키를 제거할 수 있습니다. 물론 업데이트가 잦으면 업데이트할 작업과 단계가 더 많아집니다.
그리고 당신이 불쾌한 키 서명에 대해 편집증이 있다면 아마도 해당 저장소에서 아무것도 설치하려고 시도해서는 안 될 것입니다.