Apt-key

From EIK wiki

Sissejuhatus

Apt-get kasutab avaliku võtme krüptograafiat autentimaks allalaetavaid pakette.

Avaliku võtme krüptograafia põhineb kahel võtmel, avalikul võtmel ja privaatvõtmel. Avalik võti on teada kõigile, privaatvõti ainult subjektile(isik, programm). Igaüks kellel on avalik võti saab šifreerida faili nii, et seda saab lugeda(dešifreerida) ainult see kellel on sellele avalikule võtmele vastav privaatvõti. Samuti on võimalik kasutada privaatvõtit signeerimisel(digitaalallkirja andmisel). Kui privaatvõtit on kasutatud signeerimisel, siis igaüks kellel on vastav avalik võti saab kontrollida, et fail allkirjastati just selle privaatvõtmega. Keegi ei saa sellist allkirja kopeerida või järgi teha kui tal ei ole õiget privaatvõtit.

GPG (GNU Privacy Guard) on vahend, mida kasutatakse secure apt-is failide digitaalallkirjade andmiseks ja kontrollimiseks.

Millege on tegu

Apt-key haldab võtmeid mida APT kasutab pakettide autentimiseks. Pakette, mis on neid võtmeid kasutades autenditud, saab usaldada.

Apt-key on programm, mille abil saab hallata GPG võtmerõngast („keyring“) . Võtmerõngast hoitakse failis /etc/apt/trusted.gpg (mitte segi ajada failiga /etc/apt/trustdb.gpg). Apt-key'd saab kasutada võtmerõnga võtmete näitamiseks ja võtmete lisamiseks või eemaldamiseks.

Iga kord, kui lisada uus APT varamu /etc/apt/sources.list-i, tuleb anda APT-ile võti et ta usaldaks varamut. Kui olete saanud võtme tuleb see kinnitada („validate“), kontrollides võtme sõrmejälge („fingerprint“) ja seejärel allkirjastada see avalik võti oma privaatvõtmega. Seejärel saate lisada võtme võtmerõngasse kasutades käsku apt-key add KEY

Käsud

apt-key [--keyring failinimi] [käsk] [argumendid...]


KÄSUD

  • add failinimi - Lisa uus võti usaldatud võtmete nimekirja. Võti loetakse failinimest või sisendist kui failinimi on -
  • del võtme_id - Eemalda võti usaldatud võtmete nimekirjast.
  • export võtme_id - Kuvab võtme standardsel kujul.
  • exportall - Kuva kõik usaldatud võtmed standardsel kujul.
  • list - Kuva usaldatud võtmed.
  • finger - Kuva usaldatud võtmete sõrmejäljed.
  • adv - Annab täiendavad valikud GPG-le. Käsuga adv --recv-key saad allalaadida avaliku võtme.
  • update - Uuendab lokaalset võtmerõngast ja eemaldab võtmed mis ei ole enam kasutuses.


VALIKUD

Tuleb määrata enne eelnevalt mainitud käske.

  • --keyring failinimi - Seda kasutades saab määrata võtmerõnga mille kohta käsud käivad.

Vaikimisi on selleks trusted.gpg fail ning kõik osad kaustas trusted.gpg.d, trusted.gpg on põhiline võtmerõngas ehk kõik uued võtmed listakse sinna.


FAILID

  • /etc/apt/trusted.gpg - Lokaalne võtmerõngas, uued võtmed lisatakse siia.
  • /etc/apt/trusted.gpg.d/ - Usaldatud võtmete faili fragmendid, lisa võtmerõngaid saab siin hoida.(teiste pakettide või administraatori poolt).
  • /etc/apt/trustdb.gpg - Lokaalne andmebaas võtmetega.
  • /usr/share/keyrings/debian-archive-keyring.gpg - Debiani võtmerõngas.
  • /usr/share/keyrings/debian-archive-removed-keys.gpg - Eemaldatud võtmete Debiani võtmerõngas.

Näited

Näited on läbi proovitud Ubuntu 11.10 AMD64 klient süsteemi peal.


Webmini paigaldus läbi APT-i (võtme lisamise näide)

Webmin on võetud näitena, samuti võib käia ka teiste programmide paigaldamine.

1. Muuda faili /etc/apt/sources.list:

sudo gedit /etc/apt/sources.list

Ja lisa järgnevad read:

deb http://download.webmin.com/download/repository sarge contrib
deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib



2. Lae alla varamu võti ja lisa see võtmerõngasse järgnevate käskudega:

wget http://www.webmin.com/jcameron-key.asc
sudo apt-key add jcameron-key.asc 

3. Paigalda webmin:

sudo apt-get update
sudo apt-get install webmin 

Võtme allalaadimine

Avaliku võtme saab allalaadida ja lisada võtmerõngasse ka käsuga:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 6E80C6B7

Kus --keyserver keyserver.ubuntu.com osutab serverile kus soovitud võti asub. 6E80C6B7 on võtme ID.

Del / List

Et võtit kustutada võtmerõngast tuleb kasutada käsku:

sudo apt-key del võtme_id

Et saada teada võtme ID võib kasutada käsku:

sudo apt-key list

Mis kuvab tabeli:

/etc/apt/trusted.gpg
--------------------
pub   1024D/437D05B5 2004-09-12
uid                  Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub   2048g/79164387 2004-09-12

pub   1024D/FBB75451 2004-12-30
uid                  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

pub   1024D/3E5C1192 2010-09-20
uid                  Ubuntu Extras Archive Automatic Signing Key <ftpmaster@ubuntu.com>

pub   1024D/11F63C51 2002-02-28
uid                  Jamie Cameron <jcameron@webmin.com>
sub   1024g/1B24BE83 2002-02-28

Kui vaadata rida "pub 1024D/437D05B5 2004-09-12" siis "437D05B5" on võtme ID


Export

sudo apt-key export võtme_id

Näide:

sudo apt-key export 3E5C1192

Kuvab tulemuseks:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.11 (GNU/Linux)
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=iZIY
-----END PGP PUBLIC KEY BLOCK-----


sudo apt-key exportall

Kuvab kõik võtmed järjestikku


Kasutatud materjalid

https://help.ubuntu.com/community/SecureApt
http://man.he.net/man8/apt-key
http://www.webmin.com/deb.html
http://wiki.debian.org/SecureApt



Autor

Sander Arnus A22 2011