GPG 서명은 무엇입니까 및 THIS

THIS , THISTHIS 와 같은 질문을 살펴보면 다음 질문에 대한 공개 지식을 요구합니다.

  1. GPG 서명은 무엇입니까?

  2. 시그니처는 사용자에게 어떤 추가 보안 수준을 추가하거나 제공합니까?

  3. 런치 패드에서 PPA를 사용한 GPG 서명과 관련된 일반적인 문제점은 무엇이며 왜 생성됩니까?



답변

GPG 란 무엇입니까?

GPG ( GNU Privacy Guard )는 암호화 소프트웨어 제품군입니다. 데이터와 통신을 암호화하거나 서명하여 신뢰성을 보장 할 수 있습니다.

이 유형의 암호화는 키 쌍을 기반으로합니다. 공개 키는 키 서버 (예 : keyserver.ubuntu.com)에서 호스팅되며 개인 키는 비밀로 유지됩니다. 공개 키를 사용하면 개인 키로 만든 서명을 확인할 수 있습니다. 마찬가지로, 누군가의 공개 키를 알면 해당 비밀 키 소유자 만 읽을 수있는 메시지를 암호화 할 수 있습니다.

추가 자료 : 매일 사용하는 GnuPG (미니 사용법 …)

이게 나랑 무슨 상관이야?

이 컨텍스트에서 패키지를 다운로드하는 apt 저장소는 비밀 키로 서명되어 설치중인 패키지가 원래 위치에서 온 것인지 확인할 수 있습니다.

서명 된 저장소의 실제 파일이 Release파일입니다. 이 파일에는 저장소에있는 다른 여러 파일의 체크섬이 포함되어 있습니다. 예를 들어, 여기에 파일입니다 공식 우분투 12.10 저장소와 대한 해당 GPG 서명 . 패키지를 설치할 때 apt서명을 확인하십시오.

추가 자료 : 안전한 아파트에 관한 모든 것

일반적인 문제

공식 우분투 아카이브의 공개 키는 이미 컴퓨터에서 알고 있지만 PPA 또는 타사 저장소를 추가하려면 해당 키를 가져와야합니다. 키가없는 리포지토리를 업데이트하려고하면 다음과 같은 경고가 표시됩니다.

W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965

해당 리포지토리에서 패키지를 설치하면 다음과 같은 경고 메시지도 나타납니다.

WARNING: The following packages cannot be authenticated!
  dropbox
Install these packages without verification [y/N]?

이러한 경고는 플래그 apt와 함께 실행 하여 침묵시킬 수 --allow-unauthenticated있지만 시스템에 키를 추가하여 추가 된 보안을 활용할 수 있습니다.

PPA추가 할 때add-apt-repository 도구 를 사용해야합니다.이 도구를 사용 하면 키 추가가 자동으로 처리됩니다. 키를 수동으로 추가해야하는 경우 다음 명령을 사용하십시오.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE

터미널을 사용하지 않고이 작업을 수행하려면 이 답변을 참조하십시오 .


답변