Почему в пакетах с открытым исходным кодом Ubuntu есть ключ gpg?
Я понимаю, что gpg ключи предназначены для «подписания» ваших данных, как указано на их веб-сайте ( https://www.gnupg.org/ )
Но почему тогда некоторые пакеты с открытым исходным кодом требуют от меня установить ключ gpg? От чего это защищает?
Спасибо.
1 ответ
Это защищает пакет от вмешательства. Установщик проверяет, что подпись пакета является действительной и сделана одним из ключей, которым Вы настроили свою систему для доверия.
Когда Вы добавляете ключ со способным ключом, Вы полагаете что ключ для аутентификации программного обеспечения. Это означает, что третье лицо не может предоставить Вас измененный пакет - он проверяет это, пакет сделан тем, кто бы ни управляет соответствующим закрытым ключом.
Это означает, что Вы не должны доверять, кто бы ни использует зеркало Ubuntu; можно проверить, что они не предоставляют вредоносное программное обеспечение, потому что они не смогли бы подписать пакет с ключом, которому Вы доверяете.