Debian LinuxでAptキーをどのように不信ですか?

Debian LinuxでAptキーをどのように不信ですか?

どうやって信じられないの?簡単タイプDebian Linux、または自動的に追加されるのを防ぎますかapt-key(ほとんどの商用パッケージがスクリプトで実行しているかのようにpostinst)?

以下を実行しても効果がないようですapt-key adv --edit-key ... trust

# apt-key adv --edit-key D38B4796 trust
Executing: /tmp/apt-key-gpghome.poumWAEgYJ/gpg.1.sh --edit-key D38B4796 trust
gpg (GnuPG) 2.1.18; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  rsa4096/7721F63BD38B4796
     created: 2016-04-12  expires: never       usage: SC  
sub  rsa4096/1397BC53640DB551
     created: 2016-04-12  expires: 2019-04-12  usage: S   
sub  rsa4096/6494C6D6997C215E
     created: 2017-01-24  expires: 2020-01-24  usage: S   
[ unknown] (1). Google Inc. (Linux Packages Signing Authority) <[email protected]>

pub  rsa4096/7721F63BD38B4796
     created: 2016-04-12  expires: never       usage: SC  
sub  rsa4096/1397BC53640DB551
     created: 2016-04-12  expires: 2019-04-12  usage: S   
sub  rsa4096/6494C6D6997C215E
     created: 2017-01-24  expires: 2020-01-24  usage: S   
[ unknown] (1). Google Inc. (Linux Packages Signing Authority) <[email protected]>

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 2

pub  rsa4096/7721F63BD38B4796
     created: 2016-04-12  expires: never       usage: SC  
sub  rsa4096/1397BC53640DB551
     created: 2016-04-12  expires: 2019-04-12  usage: S   
sub  rsa4096/6494C6D6997C215E
     created: 2017-01-24  expires: 2020-01-24  usage: S   
[ unknown] (1). Google Inc. (Linux Packages Signing Authority) <[email protected]>
Please note that the shown key validity is not necessarily correct
unless you restart the program.

gpg>

- したがって、再実行してもapt-key list信頼レベルは依然として次のようになりますunknown

# apt-key list D38B4796
pub   rsa4096 2016-04-12 [SC]
      EB4C 1BFD 4F04 2F6D DDCC  EC91 7721 F63B D38B 4796
uid           [ unknown] Google Inc. (Linux Packages Signing Authority) <[email protected]>
sub   rsa4096 2016-04-12 [S] [expires: 2019-04-12]
sub   rsa4096 2017-01-24 [S] [expires: 2020-01-24]

答え1

私が知っている限り、キーの信頼度はに設定されていますapt。この場合、信頼度は署名に付与された値を意味します。その他のキー与えられたキーで生成されるのは信頼ネットワークへの遷移的信頼に関するものであり、与えられたキーで生成されたパッケージ署名(またはより正確にはストレージ署名)の妥当性に対する信頼ではありません。

ストレージキーを「不信」にするには、そのキーを削除する必要があります。

パッケージが新しいキーリングをインストールしないようにするには、インクルードにファイルを追加するだけです/etc/dpkg/dpkg.cfg.d/no-new-keyrings

# Skip installation of new keyrings by default, but allow Debian keyrings
path-exclude=/etc/apt/trusted.gpg.d/*
path-include=/etc/apt/trusted.gpg.d/debian-archive-*

これは使用を妨げませんapt-key。キーをインストールするパッケージは、そのためにラッパーを作成する必要があるかもしれません。

関連情報