Как мне посмотреть внутри apt / trust.gpg?
Мне нравится помещать содержимое /etc в git, чтобы я мог видеть, какие автообновления меняются, и когда что-то ломается, чтобы я мог вернуться и узнать, что я изменил с тех пор, как он работал в последний раз.
В данный момент мне говорят:
modified: trusted.gpg
modified: trusted.gpg~
git diff бесполезны, так как это двоичные файлы. Конечно, я мог бы проверить их, но эти файлы имеют решающее значение для безопасности пакетов, поэтому это сделало бы издевательство над моими попытками обеспечения безопасности! Итак, как мне узнать, что изменилось?
В качестве пользователя root я пробовал:
cd /etc/apt
gpg -k trusted.gpg
(также пробовал --list-keys, --list-public-keys). Это говорит gpg: error reading key: public key not found.
Я уверен, что это просто вопрос определения правильных параметров для gpg?
3 ответа
Если вы используете gpg -k --keyring <file>, убедитесь, что вы указали путь к файлу, иначе gpg будет считать, что <file> находится в ~/.gnupg/, даже если он существует в текущем каталоге!
т работает как ожидалось:
cd /etc/apt
gpg -k --no-default-keyring --keyring trusted.gpg
Вместо:
cd /etc/apt
gpg -k --no-default-keyring --keyring ./trusted.gpg
$ apt-key list
Из документов на secure apt :
apt-key - это программа, которая используется для управления связкой ключей gpg для надежного Брелок хранится в файле /etc/apt/trusted.gpg (не путать с соответствующим, но не очень интересным /etc/apt/trustdb.gpg). apt-key может использоваться для отображения ключей в связке ключей, а также для добавления или удаления ключа.
Я сталкивался с этим вопросом, пытаясь выяснить, как получить информацию о файле открытого ключа с помощью GnuPG. В дополнение к командам, которые попробовал Даррен, я также попытался --fingerprint, но получил то же сообщение об ошибке gpg: error reading key: public key not found.
Узнав ответ, я подумал, что дополню ответ Эндрю более общим способом печати информации о любом файле открытого ключа:
$ gpg --with-fingerprint /etc/apt/trusted.gpg
pub 1024D/437D05B5 2004-09-12 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
Key fingerprint = 6302 39CC 130E 1A7F D81A 27B1 4097 6EAF 437D 05B5
sub 2048g/79164387 2004-09-12
pub 4096R/C0B21F32 2012-05-11 Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>
Key fingerprint = 790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
pub 4096R/EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
Key fingerprint = 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
pub 1024D/FBB75451 2004-12-30 Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
Key fingerprint = C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
Как видно, в приведенном выше списке представлена та же информация. как вывод apt-key list - хотя форматирование apt-key гораздо более читабельно.
Страница man gpg только утверждает, что опция --with-fingerprint должна быть «То же, что и команда --fingerprint», но (с GnuPG 1.4.20), она также перечисляет отпечатки пальцев, когда вместо имени файла указывается имя файла идентификатор ключа. Как показывает приведенный выше пример, этот параметр также можно использовать для печати отпечатков пальцев открытого кольца, содержащего несколько ключей.