############################# #---------------------------# #---Paketin allekirjoitus---# #---------------------------# ############################# http://wiki.debian.org/SecureApt http://www.madboa.com/geek/gpg-quickstart/ http://www.debian.org/events/keysigning http://ubuntuforums.org/archive/index.php/t-75837.html http://www.debian.org/doc/manuals/repository-howto/repository-howto Apt-paketinhallintaohjelmassa on itsessään SecureApt-ominaisuus, joka tarkistaa paketin aitouden. Paketin tekijä allekirjoittaa paketin omalla salaisella avaimellaan. Ohjelma vertaa allekirjoittajan julkista avainta allekirjoitukseen ja tekee sen perusteella päätelmän, onko allekirjoitus aito. --------------------- Paketin tekijän osuus --------------------- Gpg-ohjelmaa käytetään tiedostojen allekirjoittamiseen. Allekirjoittajalla täytyy olla olemassa GPG:llä luotu avainpari. Sellainen voidaan luoda ajamalla: gpg --gen-key Huom. Älä aja käskyä sudolla, sillä muuten luotavien tiedostojen oikeudet ovat root-käyttäjällä eikä kirjautuneella käyttäjällä. Listan luoduista julkisista ja salaisista avaimista saa komennoilla: gpg -k // Julkiset avaimet gpg -K // Salaiset avaimet Ohjelma tulostaa avaimen tyypin, salauksen vahvuuden, 8-kirjaimisen ID:n, luontipäivän ja avaimen omistajan tiedot. pub 1024D/E097AED6 2010-04-21 uid Erkki Esimerkki Avainparin julkinen avain lähetetään jollekkin yleiselle palvelimelle, jotta paketin allekirjoitusta tarkistava käyttäjä saa avaimen helposti käyttöönsä. Palvelin on vapaasti valittavissa; esimerkissä käytämme keyserver.ubuntu.com:ia. Avainparin omistaja voi lähettää avaimensa palvelimelle komennolla: gpg --keyserver keyserver.ubuntu.com --send-keys 'Avaimen ID' Allekirjoitetaan Release -tiedosto luodulla avaimella. gpg -abs -o Release.gpg Release Release.gpg on allekirjoitus, jonka aitouden APT tarkistaa. Jos tekijällä on useampi avain käytössään ja halutaan valita niistä jokin tietty, on komentoon lisättävä parametri "-u ". -------------------- Loppukäyttäjän osuus -------------------- Apt-key –ohjelma tarkistaa ladattavien pakettien allekirjoitukset. Ohjelma tietää mihin allekirjoituksiin luottaa /etc/apt/trusted.gpg-tiedoston sisällön perusteella. Paketin allekirjoittaneen julkinen avain ladataan avainpalvelimelta ja se lisätään APT:n hyväksymiin avaimiin. gpg --keyserver keyserver.ubuntu.com --recv-keys 'Avaimen ID' gpg -a --export 'Avaimen ID' | sudo apt-key add - Tarkistetaan löytyykö avain luotettujen listalta. apt-key list -------------------- pub 1024D/437D05B5 2004-09-12 uid Ubuntu Archive Automatic Signing Key sub 2048g/79164387 2004-09-12 pub 1024D/FBB75451 2004-12-30 uid Ubuntu CD Image Automatic Signing Key pub 1024D/0C5A2783 2006-11-23 uid Medibuntu Packaging Team uid The Medibuntu Team sub 2048g/16C7105A 2006-11-23 pub 1024D/E097AED6 2010-04-21 uid Erkki Esimerkki sub 2048g/255A2629 2010-04-21 Allekirjoituksen tarkistuksen voi myös ohittaa ajamalla apt-get lisäparametrilla ”-- allow unauthenticated”.