답변:
Ubuntu Community Help Wiki 에서 좋은 설명을 찾았습니다 .
"인증 키"는 일반적으로 소프트웨어 리포지토리 관리자로부터 얻습니다. 관리자는 종종 인증 키 사본을 www.keyserver.net과 같은 공개 키 서버에 배치합니다. 그런 다음 명령을 사용하여 키를 검색 할 수 있습니다.
Apt-get패키지 관리는 공개 키 암호화를 사용하여 다운로드 된 패키지를 인증합니다.
- 데비안은이 위키 페이지에서 Secure apt를 설명하는 훌륭한 일을합니다.
다음은 데비안 위키 페이지에서 수집 한 주요 획득 및 검증 프로세스에 대한 간략한 요약입니다.
기본 개념 공개 키 암호화는 키 쌍 a
public key와 a를 기반으로 합니다private key. 는public key세계에게 주어집니다; 는private key비밀을 유지해야합니다. 공개 키를 소유 한 사람은 개인 키를 소유 한 사람 만 읽을 수 있도록 메시지를 암호화 할 수 있습니다. 개인 키를 사용하여 파일을 서명하지 않고 암호화 할 수도 있습니다. 개인 키를 사용하여 파일에 서명하면 공개 키를 가진 사람은 누구나 해당 키로 파일이 서명되었는지 확인할 수 있습니다. 개인 키가없는 사람은 그러한 서명을 위조 할 수 없습니다.gpg (GNU Privacy Guard)는 파일을 서명하고 서명을 확인하기 위해 안전한 apt에 사용되는 도구입니다.
apt-key는 안전한 apt를 위해 gpg 키의 키링을 관리하는 데 사용되는 프로그램입니다. 열쇠 고리는 파일에 보관됩니다
/etc/apt/trusted.gpg(관련되어 있지만 흥미롭지는 않습니다/etc/apt/trustdb.gpg). apt-key는 키링에 키를 표시하고 키를 추가 또는 제거하는 데 사용할 수 있습니다.에 다른 apt 저장소를 추가 할 때마다
/etc/apt/sources.listapt를 신뢰하려면 apt에 키를 제공해야합니다. 키를 얻은 후에는 키의 지문을 확인한 다음이 공개 키를 개인 키로 서명하여 키를 확인할 수 있습니다. 그런 다음 apt의 키 링에 키를 추가하여apt-key add <key>