Проверка подлинности устанавливаемых приложений


При установке программ в Linux через команду apt-get install скачивается и устанавливается ключ gpg.

Скажите,

1. Где этот ключ можно посмотреть? Команда gpg --list-key такие ключи не отображает.
2. Для чего используются эти ключи, для идентификации устанавливаемых приложений?



Комментарии
— unknown (22/06/2013 10:27, исправлен 22/06/2013 10:29)   

Такой ключ в этой команде не скачивается, он уже поставлен при инсталляция дистра. Исключение: обновление пакетов keyring и относящихся к apt.



  1. man apt-key, man apt-secure.
  2. Для аутентификации, так точнее.
— Slon (22/06/2013 10:44)   
Спасибо.
Гость (23/06/2013 04:50)   

Рекомендуется время от времени делать apt-get update. Кажется, оно обновляет и ключи и репозитории, но unknown'у виднее. Главные ключи, на которые всё завязно, зашиты в сам дистрибутив, да. Доверие ко вторичным ключам, которые скачиваются, видимо, устанавливается по наличии на них подписи ключом дистрибутива.
— sentaus (23/06/2013 07:11)   
Доверие ко вторичным ключам, которые скачиваются, видимо, устанавливается по наличии на них подписи ключом дистрибутива.

Доверие ко всем apt ключам устанавливается по их наличию в файле /etc/apt/trusted.gpg или файлах в директории /etc/apt/trusted.gpg.d/
Для добавления нового репозитория их нужно туда добавить,чтобы установить пакеты из него. apt-key данный процесс автоматизирует.
— unknown (23/06/2013 12:48)   
Возможно, при обновлениях системы, связанных с apt, обновления непосредственно самих ключей происходят и самостоятельно: например, добавляется ключ будущего релиза перед апгрейдом, даже частичным.
— sentaus (23/06/2013 12:54)   
обновления непосредственно самих ключей происходят и самостоятельно


Да, в принципе ничто не мешает сделать это в postint скрипте из deb пакета.