時々キーを手動でインポートする必要があるのはなぜですか？

Question 1

このキーの役割は正確に何ですか？ GPGは何を検証しますか？なぜ必要ですか？

これらのキーは、ダウンロードしているソフトウェアがパッケージ作成者が意図したものであり、攻撃者が正常に侵入した可能性があるストレージサーバーのトロイの木馬マルウェアではないことを確認するために使用されます。あるいは、攻撃者が実際のAURリポジトリの代わりに偽装したマルウェアリポジトリにダウンロード要求をリダイレクトする可能性があります。 GPG 検証により、攻撃者はソフトウェアストアをマルウェア配布チャネルとして正常に使用することが困難になります。

キーを手動でインポートする必要があるのはなぜですか？なぜ自動化できないのですか？

特定のソフトウェア作成者/パッケージを信頼するかどうか、および受信したキーが詐欺師ではなく本物のキーであることを確認するのに十分な信頼性があるかどうかを意識的に選択する必要があります。

必要なレベルの信頼と信頼は、あなたがしていることによって異なります。エンターテイメントに使用される個人用ホームシステム、他の人の健康および/またはビジネスクレジットカード情報を処理するために使用されるサーバー、国のミサイル防衛システムに使用される補助支援サーバーは次のとおりです。毎回使用されます。それぞれの要件が異なります。

AURコメントスレッドからランダムなキーを取得するのが悪い場合は、キーを「確認」するためにどのような手順を実行する必要がありますか？

あなたがすでに鍵を持っている他の人が鍵に署名し、少なくともGPG鍵に署名したときにその人の判断を信頼している場合は、鍵が本当である可能性があるという証拠として受け入れることができます。それ以外の場合は、さまざまなソースからキーを取得して結果を比較できます。それがあなたにとって十分に重要な場合は、開発者に電話するか、会って正しいキーを持っているかどうかをより確実に確認することもできます。

誰もコメントにキーを投稿したくなく、コメントを投稿する時間がなく、管理者が返信したい場合は、どこでキーを見つける必要がありますか？

広く使用されているＧＰＧ公開鍵は通常、ＳＫＳ鍵サーバに公開される。正しいキーがない場合、パッケージツールは必要なキーのkeyIDを表示できる必要があり、それを使用してキーを取得できます。キーサーバーから。

SKS キーサーバーネットワークの詳細については、こちらをご覧ください。https://sks-keyservers.net/

Google経由でkeyIDを検索することもできます。

Answer

このキーの役割は正確に何ですか？ GPGは何を検証しますか？なぜ必要ですか？

これらのキーは、ダウンロードしているソフトウェアがパッケージ作成者が意図したものであり、攻撃者が正常に侵入した可能性があるストレージサーバーのトロイの木馬マルウェアではないことを確認するために使用されます。あるいは、攻撃者が実際のAURリポジトリの代わりに偽装したマルウェアリポジトリにダウンロード要求をリダイレクトする可能性があります。 GPG 検証により、攻撃者はソフトウェアストアをマルウェア配布チャネルとして正常に使用することが困難になります。

キーを手動でインポートする必要があるのはなぜですか？なぜ自動化できないのですか？

特定のソフトウェア作成者/パッケージを信頼するかどうか、および受信したキーが詐欺師ではなく本物のキーであることを確認するのに十分な信頼性があるかどうかを意識的に選択する必要があります。

必要なレベルの信頼と信頼は、あなたがしていることによって異なります。エンターテイメントに使用される個人用ホームシステム、他の人の健康および/またはビジネスクレジットカード情報を処理するために使用されるサーバー、国のミサイル防衛システムに使用される補助支援サーバーは次のとおりです。毎回使用されます。それぞれの要件が異なります。

AURコメントスレッドからランダムなキーを取得するのが悪い場合は、キーを「確認」するためにどのような手順を実行する必要がありますか？

あなたがすでに鍵を持っている他の人が鍵に署名し、少なくともGPG鍵に署名したときにその人の判断を信頼している場合は、鍵が本当である可能性があるという証拠として受け入れることができます。それ以外の場合は、さまざまなソースからキーを取得して結果を比較できます。それがあなたにとって十分に重要な場合は、開発者に電話するか、会って正しいキーを持っているかどうかをより確実に確認することもできます。

誰もコメントにキーを投稿したくなく、コメントを投稿する時間がなく、管理者が返信したい場合は、どこでキーを見つける必要がありますか？

広く使用されているＧＰＧ公開鍵は通常、ＳＫＳ鍵サーバに公開される。正しいキーがない場合、パッケージツールは必要なキーのkeyIDを表示できる必要があり、それを使用してキーを取得できます。キーサーバーから。

SKS キーサーバーネットワークの詳細については、こちらをご覧ください。https://sks-keyservers.net/

Google経由でkeyIDを検索することもできます。

Question 2

まとめ - 新しく強化され自動化された「ウェブサイトに公開されたリストと比較してダウンロードしたmd5sumを確認する」

署名は、パッケージに署名した人物をデジタルで確認し、パッケージが作成されてから変更されていないことを確認することです。通常、パッケージマネージャ、リリースマネージャ、またはリリースのコアプロジェクトメンテナンスグループの「権限のある」人が署名します。基本的に、これはインストールするアイテムの強化された自動化された完全性チェックです。新しい「ダウンロードアイテムを比較する必要があるファイルのリストのmd5sumハッシュを公開しました。」

仕組みは公開/秘密鍵です。パスワード（強力なパスワード）で秘密鍵を生成し、それを使用して公開鍵を生成します。公開鍵をお知らせできます。パッケージを作成して署名した後にインストールすると、ABC321FFに一致する公開鍵または署名を確認するために必要なすべてが提供されます。鍵をインポートした後、ユーザー側のソフトウェアは、識別ハッシュが同じで、ハッシュが私の秘密鍵で署名されていることを確認できます。

リポジトリからシステムにソフトウェアを追加するときのセキュリティに関する質問は、「このソフトウェアの背後にある人は誰ですか？ああ、鍵」です。ディストリビューションのキーである場合（一部のディストリビューションには独自のキーがあるかキャンセルされ、新しいキーが生成されます）、問題はありません。とにかく、そのディストリビューションでソフトウェアを実行しています。サードパーティのリポジトリ（UbuntuやプロジェクトPPAなど）に移動すると、最終的にリポジトリごとにキーをインポートできます。これは問題になる可能性があります。

注目すべき点は、キーがそのキーで署名された他の項目でのみ機能することです。妄想の程度によっては、必要に応じてキーを追加し、パッケージがインストールされたら、信頼できるキーのリストからそのキーを削除する必要があります。もちろん、更新を頻繁に実行すると、より多くのタスクと更新ステップが生成されます。

鍵の署名に何か不快なものがあるという妄想がある場合は、おそらくこのリポジトリに何もインストールしようとしないでください。

Answer