web-dev-qa-db-fra.com

Qu'est-ce qu'une clé de référentiel sous Ubuntu et comment fonctionne-t-elle?

La plupart du temps, le simple ajout d'un référentiel de packages vous permet de télécharger et d'installer des packages sans clé de référentiel. De plus, certains référentiels affichent leur clé à côté de leurs informations pour faciliter leur recherche. Mais

  • Pourquoi avons-nous besoin d'ajouter des clés si nous pouvons installer des paquets sans eux?
  • Comment fonctionnent-ils sous Ubuntu?
repository
23
Achu

J'ai trouvé une bonne explication de wiki d'aide de la communauté Ubunt .

Les "clés d'authentification" sont généralement obtenues du responsable du référentiel de logiciels. Le responsable place souvent une copie de la clé d'authentification sur un serveur de clés publiques tel que www.keyserver.net. La clé peut ensuite être récupérée à l'aide de la commande.

Authentification Apt

Apt-get La gestion des paquets utilise une cryptographie à clé publique pour authentifier les paquets téléchargés.

  • Debian fait un excellent travail d’explication de Secure apt sur cette page wiki.

Ce qui suit est un bref résumé du processus d’acquisition et de vérification des clés extrait de la page wiki de Debian.

Concepts de base La cryptographie à clé publique est basée sur des paires de clés, un public key et un private key. Le public key est donné au monde entier; le private key doit être gardé secret. Toute personne possédant la clé publique peut chiffrer un message afin que celui-ci ne puisse être lu que par une personne possédant la clé privée. Il est également possible d'utiliser une clé privée pour signer un fichier, pas pour le chiffrer. Si une clé privée est utilisée pour signer un fichier, toute personne possédant la clé publique peut vérifier que le fichier a été signé par cette clé. Personne qui n'a pas la clé privée ne peut créer une telle signature.

gpg (GNU Privacy Guard) est l’outil utilisé par Secure pour signer les fichiers et vérifier leurs signatures.

apt-key est un programme permettant de gérer un trousseau de clés de clés gpg pour sécuriser apt. Le trousseau de clés est conservé dans le fichier /etc/apt/trusted.gpg (à ne pas confondre avec le /etc/apt/trustdb.gpg apparenté mais pas très intéressant). apt-key peut être utilisé pour afficher les clés dans le trousseau de clés et pour ajouter ou supprimer une clé.

Chaque fois que vous ajoutez un autre référentiel apt à /etc/apt/sources.list, vous devrez également donner sa clé à apt si vous voulez pouvoir lui faire confiance. Une fois que vous avez obtenu la clé, vous pouvez la valider en vérifiant l'empreinte digitale de la clé, puis en signant cette clé publique avec votre clé privée. Vous pouvez ensuite ajouter la clé au trousseau d'apt avec apt-key add <key>

19
Achu

Vous avez besoin de clés de référentiel pour que vous puissiez valider que vous recevez le paquet de la personne à qui vous pensez l'envoyer.

C'est pour empêcher les gens d'injecter de mauvais paquets dans vos mises à jour.

Vous devez ajouter des clés de référentiel chaque fois que vous le pouvez.

10
RobotHumans