Вопрос или проблема
Этот вопрос касается Xubuntu 22.04 и возник в процессе подготовки к Xubuntu 24.04:
Я нашел
/etc/apt/trusted.gpg.d/atareao-ubuntu-atareao.gpg (принадлежащий touchpad-indicator) и /etc/apt/trusted.gpg.d/giuspen-ubuntu-ppa.gpg (принадлежащий x-tile)
все еще в ключевом кольце trusted.gpg, которое считается устаревшим.
Согласно инструкциям Debian по подключению к стороннему репозиторию, бинарный экспорт (gpg --export) сертификата ДОЛЖЕН быть доступен в корне репозитория под именем файла deriv-archive-keyring.pgp. Означает ли это, что это часть репозитория, который будет загружен? Или это ключ нужно загрузить отдельно, как мне сказали в другом месте: предпочтительно с веб-сайта сопровождающих пакет и с использованием защищенного соединения, такого как https или hkps, чтобы быть защищенным от MIM-атак или от зеркального сервера, который обслуживает измененный пакет вместе с поддельным подписью ключа?
Но где я могу найти эти gpg подписи для touchpad-indicator и для x-tile?
Откуда для других пакетов программного обеспечения, связанных с Launchpad?
На страницах PPA будет эта информация на launchpad – Смотрите «Технические детали об этом PPA»
https://launchpad.net/~giuspen/+archive/ubuntu/ppa
и на https://launchpad.net/~atareao/+archive/ubuntu/atareao
Используйте gpg из командной строки, чтобы получить ключи
$ gpg --keyserver keyserver.ubuntu.com --recv-keys A98E8BBCABCF6A49A5DA2F43B8668B055FE1EFE4
gpg: key B8668B055FE1EFE4: public key "Launchpad PPA for giuspen" imported
gpg: Total number processed: 1
gpg: imported: 1
$ gpg --keyserver keyserver.ubuntu.com --recv-keys 24D6ECA2F0503C89698F226025402D509B042DD9
gpg: key 25402D509B042DD9: public key "Launchpad PPA for atareao-team" imported
gpg: Total number processed: 1
gpg: imported: 1Я думаю, вам лучше удалить репозитории и ключи подписания перед обновлением до 24.04. Хотя, если я правильно помню, PPA будут отключены в связи с обновлением. Возможно, вам придется использовать sudo apt-key del, чтобы удалить ключи.
Затем добавьте PPA снова в 24.04:
sudo add-apt-repository --ppa USER/PPAКлючи подписи будут загружены автоматически и включены в соответствующие файлы .sources в /etc/apt/sources.list.d/.
Ответ или решение
Вопрос о загрузке ключей GPG для программ, предоставляемых через сторонние репозитории Ubuntu, такие как атреао для «touchpad-indicator» и giuspen для «x-tile», имеет отношение к особенностям управления репозиториями в системах на базе Debian, таких как Xubuntu. Ситуация осложняется изменениями в управлении ключами в новых версиях Ubuntu, где устарела система использования общих ключей в keyring trusted.gpg.
В теории, согласно инструкциям Debian о подключении к сторонним репозиториям, сертификаты в виде бинарного экспорта (используя команду gpg --export) должны быть доступны в корневом каталоге репозитория. Это облегчит процесс добавления репозиториев, поскольку позволит автоматически импортировать и подписывать пакеты. Однако на практике это не всегда выполняется, и ключи могут находиться в различных местах, из-за чего необходимо искать конкретное местоположение ключей.
Рассмотрим подробнее, как можно загрузить ключи GPG для репозиториев, доступных через платформу Launchpad, и какие шаги для этого требуются. Launchpad, используемая многими разработчиками для управления своими проектами и репозиториями, обычно предоставляет все необходимые данные для подключения через страницы репозиториев.
Пример для giuspen (x-tile):
- Перейдите на страницу PPA: giuspen PPA на Launchpad.
- Под разделом "Technical details about this PPA" вы увидите информацию о ключе GPG, который требуется для подписи пакетов.
- Используйте команду ниже для получения ключа через консоль:
gpg --keyserver keyserver.ubuntu.com --recv-keys A98E8BBCABCF6A49A5DA2F43B8668B055FE1EFE4Эта команда загрузит и импортирует ключ с указанием владельца и количеству обработанных ключей.
Аналогично, для atareao (touchpad-indicator):
- Перейдите на страницу PPA: atareao PPA на Launchpad.
- Повторите процесс загрузки ключа через команду:
gpg --keyserver keyserver.ubuntu.com --recv-keys 24D6ECA2F0503C89698F226025402D509B042DD9
Эти команды подразумевают использование публичного сервера ключей keyserver.ubuntu.com, который предоставляет централизованный доступ к GPG-ключам, и помогает обеспечивать целостность и подлинность при обмене данными между вашей системой и добавляемыми репозиториями.
Применение таких ключей обеспечивает безопасность и предотвращает атаки "человек посередине" (MITM), когда злоумышленник может попытаться изменить передаваемые данные между сервером и конечным пользователем. Использование надлежащих методов шифрования защищает вашу систему от таких угроз благодаря проверке подписи пакетов, получаемых из сторонних репозиториев.
Важно также помнить об удалении устаревших или уже не используемых ключей, чтобы избежать потенциальных конфликтов. Это можно сделать командой sudo apt-key del, указав идентификатор ключа. Убедитесь в том, что удалены как репозитории, так и соответствующие ключи перед обновлением системы, особенно при переходе на новые версии, такие как Xubuntu 24.04. После установки новой версии можно повторно добавить все необходимые PPA с использованием команды:
sudo add-apt-repository ppa:USER/PPAпри этом все необходимые ключи будут загружены автоматически и интегрированы в ваши источники.
Таким образом, знание процесса управления GPG-ключами и механизмами работы с ними в контексте пакетов и репозиториев Ubuntu остается актуальным и важным навыком для администратора системы, обеспечивающим безопасное и эффективное обновление ПО.