En examinant des questions telles que THIS , THIS et THIS , je pose les questions suivantes à la connaissance du public:
A quoi servent les signatures GPG?
Quel niveau de sécurité supplémentaire les signatures ajoutent-elles ou fournissent-elles aux utilisateurs?
Quels sont certains des problèmes communs associés aux signatures GPG avec des PPA dans Launchpad et pourquoi sont-ils produits?
GPG, ou GNU Privacy Guard , est une suite de logiciels cryptographiques. Il peut être utilisé pour chiffrer ou signer des données et des communications afin de garantir leur authenticité.
Ce type de cryptographie est basé sur des paires de clés. Une clé publique est hébergée sur un serveur de clés (par exemple, keyserver.ubuntu.com) et la clé privée est gardée secrète. En utilisant la clé publique, on peut vérifier la signature faite par une clé privée. De même, connaître la clé publique de quelqu'un vous permettra de chiffrer un message qui ne peut être lu que par le détenteur de la clé secrète correspondante.
Lectures supplémentaires: GnuPG pour une utilisation quotidienne (un mini guide ...)
Dans ce contexte, le référentiel apt à partir duquel vous téléchargez un paquet devrait être signé par une clé secrète afin que vous puissiez vérifier que les paquets que vous installez proviennent bien de l'endroit où ils se disent.
Le fichier réel dans le référentiel qui est signé est le fichier Release
. Ce fichier contient les sommes de contrôle d’un certain nombre d’autres fichiers du référentiel. Par exemple, voici le fichier pour le référentiel officiel Ubuntu 12.10 et son signature GPG correspondante . Lorsque vous installez un package, apt
vérifie la signature.
Lectures supplémentaires: Tout à propos de secure apt
Votre ordinateur connaît déjà la clé publique de l'archive Ubuntu officielle, mais si vous souhaitez ajouter un référentiel PPA ou tiers, vous devez importer leur clé. Si vous essayez de mettre à jour un référentiel dont vous n'avez pas la clé, des avertissements tels que:
W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965
Lorsque vous installez un package à partir de ce référentiel, vous recevrez également un avertissement:
WARNING: The following packages cannot be authenticated!
dropbox
Install these packages without verification [y/N]?
Ces avertissements peuvent être réduits au silence en exécutant apt
avec l'indicateur --allow-unauthenticated
, mais il est préférable d'ajouter la clé à votre système afin de pouvoir tirer parti de la sécurité supplémentaire.
Lors de l'ajout d'un PPA , vous devez utiliser l'outil add-apt-repository
car il gérera automatiquement l'ajout de la clé pour vous. Si vous devez ajouter la clé manuellement, utilisez la commande suivante:
Sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE
Si vous préférez le faire sans utiliser le terminal, consultez cette réponse .