我在
Ubuntu社区帮助维基上找到了一个很好的解释。
“认证密钥”通常是从软件源的维护者那里获得的。维护者通常会将认证密钥的副本放在诸如www.keyserver.net之类的公共密钥服务器上。然后可以使用以下命令检索密钥。
Apt认证
Apt-get软件包管理使用公钥加密来验证下载的软件包。
Debian在这个维基页面上对Secure apt进行了很好的解释。
以下是从Debian维基页面中摘取的密钥获取和验证过程的简要概述。
基本概念:公钥加密是基于一对密钥,即公钥和私钥。公钥可以公开给世界;私钥必须保密。拥有公钥的任何人都可以使用该公钥加密消息,以便只能由拥有私钥的人读取。还可以使用私钥对文件进行签名,而不是加密。如果使用私钥对文件进行签名,则拥有公钥的任何人都可以检查该文件是否由该密钥签名。没有私钥的人无法伪造这样的签名。
gpg(GNU Privacy Guard)是secure apt中用于签署文件并检查其签名的工具。
apt-key是用于管理secure apt的gpg密钥环的程序。密钥环保存在文件/etc/apt/trusted.gpg中(与相关但不太有趣的/etc/apt/trustdb.gpg不要混淆)。apt-key可用于显示密钥环中的密钥,并添加或删除密钥。
每次将另一个apt存储库添加到/etc/apt/sources.list时,如果希望apt信任它,还必须提供apt的密钥。获得密钥后,可以通过检查密钥的指纹并使用私钥对该公钥进行签名来验证它。然后,可以使用apt-key add 将密钥添加到apt的密钥环中。