때때로 키를 수동으로 가져와야 하는 이유는 무엇입니까?

Question 1

이 키의 역할은 정확히 무엇인가요? GPG는 무엇을 검증하나요? 왜 필요한가요?

이러한 키는 다운로드 중인 소프트웨어가 패키지 작성자가 의도한 것인지, 공격자가 성공적으로 침투했을 수 있는 저장소 서버의 트로이 목마 악성 코드가 아닌지 확인하는 데 사용됩니다. 또는 공격자가 실제 AUR 저장소 대신 위장한 악성 코드 저장소로 다운로드 요청을 리디렉션할 수도 있습니다. GPG 검증을 통해 공격자가 소프트웨어 저장소를 맬웨어 배포 채널로 성공적으로 사용하기가 어렵습니다.

키를 수동으로 가져와야 하는 이유는 무엇입니까? 왜 자동화할 수 없나요?

특정 소프트웨어 작성자/패키저를 신뢰할지 여부와 받은 키가 사기꾼이 아닌 진짜 키인지 확인할 만큼 확신이 있는지 여부를 의식적으로 선택해야 합니다.

필요한 수준의 신뢰와 신뢰는 귀하가 하고 있는 일에 따라 다릅니다. 엔터테인먼트에 사용되는 개인 홈 시스템, 다른 사람의 건강 및/또는 비즈니스 신용 카드 정보를 처리하는 데 사용되는 서버, 국가의 미사일 방어 시스템에 사용되는 보조 지원 서버는 다음과 같습니다. 매번 사용됩니다. 각각의 요구 사항이 다릅니다.

AUR 주석 스레드에서 무작정 키를 가져오는 것이 좋지 않은 경우 키를 "확인"하려면 어떤 단계를 수행해야 합니까?

귀하가 이미 키를 갖고 있는 다른 사람이 키에 서명했고 최소한 GPG 키에 서명할 때 그 사람의 판단을 신뢰했다면 이를 키가 진짜일 가능성이 있다는 증거로 받아들일 수 있습니다. 그렇지 않으면 여러 다른 소스에서 키를 가져와 결과를 비교할 수 있습니다. 그것이 당신에게 충분히 중요하다면 개발자에게 전화하거나 만나서 올바른 키를 가지고 있는지 더 확실하게 확인할 수도 있습니다.

아무도 댓글에 키를 게시하고 싶어하지 않고 댓글을 게시할 시간도 없고 관리자가 답변을 해주기를 원하는 경우 키를 어디서 찾아야 합니까?

널리 사용되는 GPG 공개 키는 일반적으로 SKS 키 서버에 게시됩니다. 올바른 키가 없는 경우 패키지 도구는 필요한 키의 keyID를 표시할 수 있어야 하며 이를 사용하여 키를 검색할 수 있습니다. 키 서버에서.

SKS 키 서버 네트워크에 대한 자세한 내용은 여기를 참조하세요.https://sks-keyservers.net/

Google을 통해 keyID를 검색할 수도 있습니다.

Answer

이 키의 역할은 정확히 무엇인가요? GPG는 무엇을 검증하나요? 왜 필요한가요?

이러한 키는 다운로드 중인 소프트웨어가 패키지 작성자가 의도한 것인지, 공격자가 성공적으로 침투했을 수 있는 저장소 서버의 트로이 목마 악성 코드가 아닌지 확인하는 데 사용됩니다. 또는 공격자가 실제 AUR 저장소 대신 위장한 악성 코드 저장소로 다운로드 요청을 리디렉션할 수도 있습니다. GPG 검증을 통해 공격자가 소프트웨어 저장소를 맬웨어 배포 채널로 성공적으로 사용하기가 어렵습니다.

키를 수동으로 가져와야 하는 이유는 무엇입니까? 왜 자동화할 수 없나요?

특정 소프트웨어 작성자/패키저를 신뢰할지 여부와 받은 키가 사기꾼이 아닌 진짜 키인지 확인할 만큼 확신이 있는지 여부를 의식적으로 선택해야 합니다.

필요한 수준의 신뢰와 신뢰는 귀하가 하고 있는 일에 따라 다릅니다. 엔터테인먼트에 사용되는 개인 홈 시스템, 다른 사람의 건강 및/또는 비즈니스 신용 카드 정보를 처리하는 데 사용되는 서버, 국가의 미사일 방어 시스템에 사용되는 보조 지원 서버는 다음과 같습니다. 매번 사용됩니다. 각각의 요구 사항이 다릅니다.

AUR 주석 스레드에서 무작정 키를 가져오는 것이 좋지 않은 경우 키를 "확인"하려면 어떤 단계를 수행해야 합니까?

귀하가 이미 키를 갖고 있는 다른 사람이 키에 서명했고 최소한 GPG 키에 서명할 때 그 사람의 판단을 신뢰했다면 이를 키가 진짜일 가능성이 있다는 증거로 받아들일 수 있습니다. 그렇지 않으면 여러 다른 소스에서 키를 가져와 결과를 비교할 수 있습니다. 그것이 당신에게 충분히 중요하다면 개발자에게 전화하거나 만나서 올바른 키를 가지고 있는지 더 확실하게 확인할 수도 있습니다.

아무도 댓글에 키를 게시하고 싶어하지 않고 댓글을 게시할 시간도 없고 관리자가 답변을 해주기를 원하는 경우 키를 어디서 찾아야 합니까?

널리 사용되는 GPG 공개 키는 일반적으로 SKS 키 서버에 게시됩니다. 올바른 키가 없는 경우 패키지 도구는 필요한 키의 keyID를 표시할 수 있어야 하며 이를 사용하여 키를 검색할 수 있습니다. 키 서버에서.

SKS 키 서버 네트워크에 대한 자세한 내용은 여기를 참조하세요.https://sks-keyservers.net/

Google을 통해 keyID를 검색할 수도 있습니다.

Question 2

요약 - 새롭게 강화되고 자동화된 "웹사이트에 게시된 목록과 비교하여 다운로드한 md5sum 확인"

서명은 패키지에 서명한 사람을 디지털 방식으로 확인하여 패키지가 생성된 이후 수정되지 않았음을 확인하는 것입니다. 일반적으로 패키지 관리자나 릴리스 관리자 또는 릴리스의 핵심 프로젝트 유지 관리 그룹의 "권한 있는" 사람이 서명합니다. 본질적으로 이는 설치하려는 항목에 대한 강화되고 자동화된 온전성 검사입니다. 새로운 "다운로드 항목을 비교해야 하는 파일 목록의 md5sum 해시를 게시했습니다."

작동 방식은 공개/개인 키입니다. 비밀번호(강력한 비밀번호)로 개인 키를 생성하고 이를 사용하여 공개 키를 생성합니다. 공개키를 알려드릴 수 있습니다. 패키지를 생성하고 서명한 후 설치하면 ABC321FF와 일치하는 공개 키 또는 서명을 확인하는 데 필요한 모든 것이 제공됩니다. 키를 가져온 후 사용자 측의 소프트웨어는 식별 해시가 동일하고 해시가 내 개인 키로 서명되었는지 확인할 수 있습니다.

저장소에서 시스템에 소프트웨어를 추가할 때 보안 질문은 "이 소프트웨어 뒤에 있는 사람은 누구입니까? 아, 그리고 열쇠"입니다. 배포판의 키인 경우(일부 배포판에는 자체 키가 있거나 취소되고 새 키가 생성됨) 문제가 되지 않습니다. 어쨌든 해당 배포판에서 소프트웨어를 실행하고 있는 것입니다. 타사 리포지토리(예: Ubuntu 및 프로젝트 PPA)로 이동하면 결국 리포지토리별로 키를 가져오게 되는데, 이는 문제가 될 수 있습니다.

주목해야 할 점은 이제 키가 해당 키로 서명된 다른 항목에서만 작동한다는 것입니다. 편집증 정도에 따라 필요에 따라 키를 추가하고 패키지가 설치된 후 신뢰할 수 있는 키 목록에서 해당 키를 제거해야 할 수도 있습니다. 물론 업데이트를 자주 수행하면 더 많은 작업과 업데이트 단계가 생성됩니다.

키 서명에 뭔가 불쾌한 것이 있다는 편집증이 있다면 아마도 이 저장소에서 아무 것도 설치하려고 시도하지 말아야 할 것입니다.

Answer