回答:
Ubuntu Community Help Wikiから良い説明を見つけました。
「認証キー」は通常、ソフトウェアリポジトリの管理者から取得されます。メンテナーは多くの場合、www.keyserver.netなどの公開キーサーバーに認証キーのコピーを配置します。その後、コマンドを使用してキーを取得できます。
Apt-getパッケージ管理は、公開鍵暗号を使用して、ダウンロードされたパッケージを認証します。
- DebianはこのwikiページでSecure aptを説明する素晴らしい仕事をしています。
以下は、Debianのwikiページから収集した主要な取得および検証プロセスの短い要約です。
基本概念公開キー暗号化は、キーのペアa
public keyおよびaに基づいていますprivate key。public key世界に配られます。private key秘密にしておく必要があります。公開鍵を持っている人は誰でもメッセージを暗号化できるため、秘密鍵を持っている人だけが読むことができます。ファイルを暗号化するのではなく、秘密鍵を使用してファイルに署名することもできます。秘密鍵を使用してファイルに署名すると、公開鍵を持っている人はだれでも、その鍵によってファイルが署名されたことを確認できます。秘密鍵を持っていない人は、そのような署名を偽造することはできません。gpg(GNU Privacy Guard)は、ファイルに署名して署名を確認するための安全なaptで使用されるツールです。
apt-keyは、安全なaptのためにgpgキーのキーリングを管理するために使用されるプログラムです。キーリングはファイルに保持されます
/etc/apt/trusted.gpg(関連するものと混同しないでくださいが、あまり面白くない/etc/apt/trustdb.gpg)。apt-keyは、キーリング内のキーを表示したり、キーを追加または削除したりするために使用できます。aptに別のaptリポジトリを追加するたびに
/etc/apt/sources.list、aptに信頼させる場合は、aptのキーも提供する必要があります。キーを取得したら、キーの指紋を確認し、この公開キーに自分の秘密キーで署名することにより、キーを検証できます。次に、キーをaptのキーリングに追加できますapt-key add <key>
リポジトリキーが必要なため、パッケージの入手元と思われる人からパッケージを受け取ったことを検証できます。
人々があなたのアップデートに悪いパッケージを挿入するのを防ぐためです。
できる限りリポジトリキーを追加する必要があります。