APT - digitális aláírás importálása

Az APT 0.6 verziójában jelent meg a crypto rendszer, amely figyeli a telepítendő csomag integritását. Ezáltal megtudhatjuk, hogy az éppen telepíteni kívánt csomag eredeti, vagy belepisztáltak-e a "csúnya bácsik". Amíg az aláírás nincs importálva, addig ilyen figyelmeztetéseket kapunk. Példa a http://ftp.hu.debian.org forráshelyre:

W: GPG error: http://ftp.hu.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY F1D53D8C4F368D5D

Az alábbi paranccsal lekérdezhetjük, hogy a A NO_PUBKEY után lévő számsorozat (a ${KEY} helyére írva) valós-e:

$ gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys ${KEY}

Ha úgy döntöttünk, hogy megbízunk a kulcsban, akkor pedig célszerű importálni, amit így tehetünk meg:

$ gpg --armor --export ${KEY} | apt-key add -

a http://ftp.hu.debian.org példa megoldása:

$ gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys F1D53D8C4F368D5D
$ gpg --armor --export F1D53D8C4F368D5D | apt-key add -

Ha a kulcs elérhető közvetlenül a szerverről is, és nem akarjuk ellenőrizni, akkor az alábbi megoldást is használhatjuk:

$ wget -q -O- http://az.adott.szerver/kulcs/utvonala/kulcs.gpg | apt-key add -

jonci

2006.12.27

tartalom