Ho scoperto che ogni manutentore di un repository può decidere di firmare i propri repository e per questo motivo si generano una coppia di chiavi pubblica/privata. La chiave privata protetta con una passphrase (una password) viene conservata dal manutentore del repository, metre la chiave pubblica deve essere condivisa con gli utenti che intendono usufruire del repository.
Per ogni repository esiste una chiave univoca GPG utilizata per autenticare i pacchetti. È, pertanto, necessario installarla per verificare la correttezza e l'utenticità del repository sorgente da cui si scaricheranno i pacchetti.
E’ possibile esportare la chiave pubblica su un keyserver anche tramite interfaccia web tramite il sito relativo al keyserver. Esistono tanti keyserver tra i quali i più noti e più utilizzati sono:
http://keyserver.ubuntu.comOra vediamo come importare/installare queste chiavi pubbliche, il procedimento è molto semplice. Aggiornati o aggiunti i repository lanciate l'aggiornamento di questi. Al termine dell'update vi apparirà una stringa dove vi chiedono di installare una chiave pubblica simile a questa:
http://pgp.mit.edu
http://wwwkeys.eu.pgp.net
ora non resta che digitare questi due comandi da terminale (sostituendo a KEY la chiave):E0105C710F54BDBA
gpg --keyserver keyserver.ubuntu.com --recv-keys KEYA questo punto rilanciate l'update e successivamente l'upgrade per aggiornare il vostro programma, o il comando install per installarlo.
gpg --export --armor KEY | sudo apt-key add -
Nessun commento:
Posta un commento