debianforum.de

[mathew123]

Kann mir jemand erklären, wie das funktioniert mit den Signaturen für Packetquellen? Wie pflegt man diese richtig ein? Wo bekomme ich den entsprechenden Schlüssel her für eine Quelle? Kann man diesen auf den Websites immer nachschauen?


Besten Dank

M.

[schauinsland]

Das Thema ist gut erklärt auf wiki.debian.org/SecureApt. Es ist sinnvoll, sich zumindest Grundlagen zu Verschlüsselung allgemein, OpenPGP und GnuPG klar zu machen.

Die Schlüssel sind teilweise in Paketen innerhalb der repositories vorhanden. Bei den repositories von Drittanbietern - und um die geht es Dir ja wahrscheinlich in der Hauptsache - lädt man den öffentlichen Schlüssel i. S. GnuPG / OpenPGP meist direkt lokal herunter und integriert ihn mit dem Befehl apt-key in Apt. Das Herunterladen geht entweder über HTTP oder mittels GnuPG von einem keyserver.

Im Fall von HTTP erfolgt das Herunterladen üblicher Weise mit wget, der Schlüssel kann direkt per pipe an apt-key übergeben werden. Beispiel virtualbox.org:

Code: Alles auswählen

# wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc -O - | apt-key add -

Bei GnuPG muss der Schlüssel erst lokal gespeichert und dann an apt-key übergeben werden. Beispiel PPA repository von Ubuntu (wirklich nur als Beispiel, weil mir gerade kein anderes externes repository einfällt; Einsatz unter Debian mit äußerster Vorsicht zu genießen)

Code: Alles auswählen

# gpg2 --keyserver keyserver.ubuntu.com --recv-keys A1F196A8
# gpg2 --list-keys
# gpg2 --armor --export A1F196A8 | apt-key add -


In Apt importierte Schlüssel können jederzeit mit

Code: Alles auswählen

# apt-key list

eingesehen werden.
Zur Syntax der beteiligten Befehl vgl. man <Befehl>.

[mathew123]

wo finde ich z.b. hier: http://ftp-stud.hs-esslingen.de/ den key? ich wollte einen einpflegen, habe ihn aber nicht finden können auf der website. mir geht es hierbei um non-free.