Repository e GPG
Per garantire che un determinato repository sia "fidato" in Debian si utilizza una chiave di cifratura GPG.
L'autenticazione è di forma univoca, ovvero una chiave GPG può autenticare un solo repository. Per i repository ufficiali, l'acquisizione della chiave di cifratura è automatica, infatti non andiamo mai ad aggiungere una chiave GPG al primo avvio della nostra Debian, a meno che non usiamo già dal primo avvio repository non ufficiali. Ma se volessimo usare un repository non ufficiale che richiede l'autenticazione ed essa non viene fatta in automatico? Dobbiamo importare le chiavi GPG per questi repository non ufficiali. Prendiamo l'esempio di un repository backports:
«(esempio preso da http://www.e-pillole.com/ per quanto riguarda il backports).»
##BACKPORTS deb http://www.backports.org/debian/ lenny-backports main deb-src http://www.backports.org/debian/ lenny-backports main
apriamo con il nostro editor di testo il file /etc/apt/sources.list e aggiungiamo questo repository. Salviamo e chiudiamo e cominciamo con i comandi.
# apt-get update
alla fine dell'update troveremo però un WARNING di questo tipo
W: GPG error: http://www.backports.org lenny-backports Release: \ Le seguenti firme non sono state verificate perché la chiave pubblica \ non è disponibile: NO_PUBKEY EA8E8B2116BA136C W: È consigliabile eseguire apt-get update per correggere questi problemi
analizziamo bene questo avvertimento: il sistema ci comunica che non è stato possibile verificare la "firma" del repository perché manca della chiave pubblica di riferimento.
La chiave che il sistema "cerca" è EA8E8B2116BA136C. Preleviamo dal keyserver predisposto la chiave dei nostri backports con questo comando:
# gpg --keyserver subkeys.pgp.net --recv EA8E8B2116BA136C
Una volta scaricata la chiave sul nostro computer, dobbiamo provvedere ad aggiungerla al nostro portachiavi.
Per far ciò utilizzeremo il comando "export" in pipe con il comando "apt-key":
# gpg --armor --export EA8E8B2116BA136C | apt-key add -
Fatto questo, daremo nuovamente l'update con
# apt-get update
e se non otterremo altri Warning vorrà dire che avremo importato la chiave in modo corretto.
Saremo parimenti certi che, da quel momento in poi, i pacchetti scaricati proverranno da una fonte "sicura".