The man page Ubuntu untuk apt-key termasuk catatan berikut mengenai apt-key add:

Catatan: Daripada menggunakan perintah ini keyring harus ditempatkan langsung di direktori /etc/apt/trusted.gpg.d/ dengan nama deskriptif dan "gpg" atau "asc" sebagai ekstensi file.

Saya tidak berpikir saya pernah melihat saran ini di tempat lain. Sebagian besar proyek yang meng-host repositori mereka sendiri mengatakan untuk mengunduh file kunci mereka dan menambahkannya apt-key.

1. Apa motivasi di balik saran ini?
2. Apakah ini Ubuntu-isme, atau apakah itu berlaku untuk distro berbasis APT?

Proyek-proyek tersebut memiliki instruksi yang sudah ketinggalan zaman. Saya tahu ini karena saya menerbitkan repositori Debian dan saya memperbarui instruksi ketika saya mengetahui tentang perubahan di Debian 9 APT. Memang, bagian dari manual ini sudah ketinggalan zaman, karena itu adalah direktori yang salah.

Ini tidak benar-benar berkaitan dengan .ddirektori dan lebih berkaitan dengan mencegah kerentanan lintas situs di APT. Sistem yang lebih lama menggunakan file keyring terpisah untuk kenyamanan, tetapi ini sekarang menjadi kebutuhan untuk keamanan; keamanan Anda .

Ini adalah kerentanannya. Pertimbangkan dua penerbit repositori, A dan B. Di dunia Debian 8 dan sebelumnya, kunci kedua penerbit masuk ke keyring global tunggal pada mesin pengguna. Jika penerbit A entah bagaimana dapat mengatur untuk mengganti situs penyimpanan WWW dari penerbit B, maka A dapat mempublikasikan paket subversif, ditandatangani dengan kunci A sendiri , yang dengan senang hati APA terima dan pasang. Kunci A, bagaimanapun, dipercaya secara global untuk semua repositori.

Mitigasi adalah bagi pengguna untuk menggunakan pegas kunci terpisah untuk penerbit individual , dan untuk merujuk pegas kunci tersebut dengan Signed-Bypengaturan individual dalam definisi repositori mereka. Secara khusus, kunci penerbit A hanya digunakan dalam Signed-Byrepositori A dan kunci penerbit B hanya digunakan dalam Signed-Byrepositori B. Dengan cara ini, jika penerbit A mengganti repositori penerbit B, APT tidak akan menerima paket subversif darinya karena mereka dan repositori ditandatangani oleh kunci penerbit A bukan oleh penerbit B.

The /etc/apt/trusted.gpg.dmekanisme di tangan adalah lebih tua rumah singgah agak cacat Poor Man terhadap ini, dari kembali pada tahun 2005 atau lebih, itu tidak cukup cukup baik. Ini mengatur keyring dalam file terpisah, sehingga dapat dikemas dan hanya diinstal dalam satu langkah oleh manajer paket (atau diunduh dengan fetch/ curl/ wget) seperti file lainnya. (Manajer paket menangani mencegah paket khusus penerbit- ini-adalah-repositori-keyring dari publisher dari penerbit B, dengan cara yang biasa menangani konflik file antar paket secara umum.) Tetapi masih menambahkannya ke set kunci yang dipercaya secara global untuk semua repositori. Mekanisme lengkap yang ada sekarang menggunakan file keyring terpisah, tidak dipercaya secara global /usr/share/keyrings/.

Instruksi saya sudah ada di sana. ☺ Ada beberapa langkah yang sedang dilakukan untuk memindahkan repositori Debian sendiri ke mekanisme ini, sehingga mereka tidak lagi menggunakan kunci yang dipercaya secara global. Anda mungkin ingin berbicara dengan "sebagian besar proyek" yang Anda temukan. Bagaimanapun, mereka saat ini menginstruksikan Anda untuk menyerahkan akses global ke APT pada mesin Anda kepada mereka.

Bacaan lebih lanjut

• Daniel Kahn Gillmor (2017-05-02). Silakan kirimkan kunci khusus rilis secara terpisah di luar/etc/apt/trusted.gpg.d/ . Bug Debian # 861695.
• Daniel Kahn Gillmor (2017-07-27). entri debian sources.listharus memiliki opsi masuk yang menunjuk ke kunci tertentu . Bug Debian # 877012.
• "Entri.list entri" . Instruksi untuk terhubung ke repositori pihak ketiga . Wiki Debian. 2018.
• Mengapa bukan risiko keamanan untuk ditambahkan ke sources.list?
• Debian 9, APT, dan "Kesalahan GPG: ... InRelease: Tanda tangan berikut tidak valid:"

apt-key delmengambil keyid, yang merupakan hash yang tidak berarti dari kunci.

Lebih mudah jika Anda dapat menghapus kunci menggunakan nama yang berarti ... seperti nama file.

Seperti yang dikatakan JdeBP, ini berfungsi baik dengan file kunci tepercaya yang diinstal sebagai bagian dari paket debian. Saya pikir itu juga bisa lebih baik ketika Anda menginstal file kunci secara manual.

Dalam mekanisme baru yang saat ini dalam "pengujian awal", ini lebih disederhanakan. Anda hanya perlu menghapus / menonaktifkan satu hal: repositori (di sources.list / sources.list.d). Itu secara otomatis akan berhenti mengizinkan kunci yang dikonfigurasi untuk repo itu (kecuali jika itu juga digunakan oleh repo lain).

Saya tidak tahu bagaimana memanfaatkan mekanisme keamanan baru ini. Saya hanya berasumsi bahwa saya perlu mempercayai seseorang jika saya menggunakan paket mereka. Proses instalasi paket masih berjalan sebagai root:-).