我想知道新增的公鑰是否apt-key是
- 每個儲存庫(儲存庫中的所有套件都使用相同的公鑰進行身份驗證)或
- 每個套件(同一儲存庫中的不同套件可以使用不同的公鑰進行身份驗證)。
換句話說,公鑰驗證什麼:套件、儲存庫還是其他東西?
的線上說明頁apt-key說
apt-key 用於管理 apt 進行身份驗證所使用的金鑰列表包包。已使用這些金鑰進行身份驗證的套件將被視為受信任。
……透過 apt-key 手動新增的金鑰經過驗證是否屬於其所有者至關重要 儲存庫他們聲稱是為了。
例如,我想知道為什麼沒有儲存庫或其他指定為公鑰適用範圍的東西?
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E298A3A825C0D65DFD57CBB651716619E084DAB9
謝謝。
答案1
金鑰本身根本沒有範圍:新增到apt金鑰環的任何金鑰都被視為有效的簽章金鑰。
在 Debian 風格的儲存庫中,簽名適用於整個儲存庫:每個儲存庫的Release檔案都經過簽名,作為分離簽名 ( Release.gpg) 或內聯簽名 ( InRelease)。簽名指示哪個金鑰用於簽署文件(或哪個金鑰,因為一個文件可以由多個金鑰簽署)。其他所有內容均使用中的資訊進行驗證Release文件中的資訊進行驗證。看如何保證 Debian 軟體包的真實性?了解詳情。
如果您想指定應使用哪些金鑰來驗證給定儲存庫,您可以在 的儲存庫描述中執行此操作sources.list,而不是在將金鑰新增至apt的金鑰環時執行此操作;看到Signed-By中的選項這sources.list頁。