Вопрос или проблема
Этот вопрос относится к Xubuntu 22.04 и возник в подготовке к Xubuntu 24.04:
Я нашел
/etc/apt/trusted.gpg.d/atareao-ubuntu-atareao.gpg
(принадлежит touchpad-indicator) и
/etc/apt/trusted.gpg.d/giuspen-ubuntu-ppa.gpg
(принадлежит x-tile)
в still в ключевом кольце trusted.gpg, которое устарело.
Согласно инструкциям Debian по подключению к стороннему репозиторию, бинарный экспорт (gpg --export
) сертификата ДОЛЖЕН быть доступен в корне репозитория под именем deriv-archive-keyring.pgp
. Означает ли это, что он является частью загружаемого репозитория? Или ключ нужно загружать отдельно, как мне говорили в другом месте: предпочтительно с сайта поддерживающих пакеты и с использованием безопасного соединения, такого как https или hkps, чтобы защититься от атак MIM или от зеркального сервера, который предоставляет поддельный пакет вместе с поддельным ключом подписи?
Но где я могу найти эти gpg ключи подписи для touchpad-indicator
и для x-tile
?
Откуда для других пакетов программного обеспечения, связанных с Launchpad?
Страницы PPA будут содержать эту информацию на launchpad – смотрите “Технические детали об этом PPA”
https://launchpad.net/~giuspen/+archive/ubuntu/ppa
и от https://launchpad.net/~atareao/+archive/ubuntu/atareao
Используйте gpg из командной строки, чтобы получить ключи
$ gpg --keyserver keyserver.ubuntu.com --recv-keys A98E8BBCABCF6A49A5DA2F43B8668B055FE1EFE4
gpg: ключ B8668B055FE1EFE4: открытый ключ "Launchpad PPA для giuspen" импортирован
gpg: Всего обработано: 1
gpg: импортировано: 1
$ gpg --keyserver keyserver.ubuntu.com --recv-keys 24D6ECA2F0503C89698F226025402D509B042DD9
gpg: ключ 25402D509B042DD9: открытый ключ "Launchpad PPA для atareao-team" импортирован
gpg: Всего обработано: 1
gpg: импортировано: 1
Ответ или решение
Где скачать ключи подписи GPG для atareao и giuspen на Xubuntu 22.04
Вопрос о скачивании ключей подписи GPG для пакетов, таких как touchpad-indicator
от atareao и x-tile
от giuspen, особенно актуален при подготовке к обновлению до Xubuntu 24.04. С учетом того, что вы уже нашли ключи в директории /etc/apt/trusted.gpg.d/
, важно учитывать, что использование этой ключевой базы считается устаревшим. Давайте разберем, как правильно получить эти ключи.
1. Документация и практики безопасности
Согласно инструкциям Debian, ключи могут находиться в корне репозитория в виде файла с именем deriv-archive-keyring.pgp
. Это не гарантирует, что вам не потребуется скачать ключи отдельно. Безопаснее всего получать ключи из официальных источников, используя защищенное соединение (HTTPS или HKPS), чтобы избежать атак типа «человек посередине» (MITM).
2. Где найти ключи для atareao и giuspen
Для получения ключей необходимо обратиться на страницы соответствующих PPA на Launchpad:
-
Giuspen PPA:
Giuspen PPA на LaunchpadЗдесь вы сможете увидеть технические детали о PPA и загрузить ключи. Ключ для giuspen PPA:
A98E8BBCABCF6A49A5DA2F43B8668B055FE1EFE4
-
Atareao PPA:
Atareao PPA на LaunchpadИщите там подробности о PPA и загрузке ключей. Ключ для atareao PPA:
24D6ECA2F0503C89698F226025402D509B042DD9
3. Команды для импорта ключей GPG
Вы можете воспользоваться следующим набором команд в терминале для загрузки и импорта ключей с ключевого сервера Ubuntu:
# Импорт ключа для giuspen
gpg --keyserver keyserver.ubuntu.com --recv-keys A98E8BBCABCF6A49A5DA2F43B8668B055FE1EFE4
# Импорт ключа для atareao
gpg --keyserver keyserver.ubuntu.com --recv-keys 24D6ECA2F0503C89698F226025402D509B042DD9
После выполнения этих команд вы увидите вывод, подтверждающий импорт ключей, что свидетельствует о корректной настройке доверенной среды для ваших PPA.
4. Обработка других пакетов из Launchpad
Для других пакетов, доступных через Launchpad, вы можете использовать аналогичный процесс. Посетите страницу соответствующего PPA, чтобы найти информацию о ключах, а затем импортируйте их с помощью команд, упомянутых выше.
Заключение
Скачивание и правильная настройка ключей подписи GPG важны для обеспечения безопасности вашей системы. Используйте официальный PPA и ключи, импортированные из надежных источников, чтобы минимизировать риски. Следуйте рекомендациям по безопасности и всегда проверяйте актуальность источников.