Проверка подлинности устанавливаемых приложений
При установке программ в Linux через команду apt-get install скачивается и устанавливается ключ gpg.
Скажите,
1. Где этот ключ можно посмотреть? Команда gpg --list-key такие ключи не отображает.
2. Для чего используются эти ключи, для идентификации устанавливаемых приложений?
Такой ключ в этой команде не скачивается, он уже поставлен при инсталляция дистра. Исключение: обновление пакетов keyring и относящихся к apt.
Спасибо.
Рекомендуется время от времени делать apt-get update. Кажется, оно обновляет и ключи и репозитории, но unknown'у виднее. Главные ключи, на которые всё завязно, зашиты в сам дистрибутив, да. Доверие ко вторичным ключам, которые скачиваются, видимо, устанавливается по наличии на них подписи ключом дистрибутива.
Доверие ко всем apt ключам устанавливается по их наличию в файле /etc/apt/trusted.gpg или файлах в директории /etc/apt/trusted.gpg.d/
Для добавления нового репозитория их нужно туда добавить,чтобы установить пакеты из него. apt-key данный процесс автоматизирует.
Возможно, при обновлениях системы, связанных с apt, обновления непосредственно самих ключей происходят и самостоятельно: например, добавляется ключ будущего релиза перед апгрейдом, даже частичным.
Да, в принципе ничто не мешает сделать это в postint скрипте из deb пакета.