คำตอบ:
GPG หรือGNU Privacy Guardเป็นชุดซอฟต์แวร์เข้ารหัส สามารถใช้เพื่อเข้ารหัสหรือลงนามข้อมูลและการสื่อสารเพื่อให้แน่ใจว่าเป็นของแท้
การเข้ารหัสประเภทนี้ขึ้นอยู่กับคู่ของคีย์ กุญแจสาธารณะถูกโฮสต์อยู่บนเซิร์ฟเวอร์หลัก (เช่น keyserver.ubuntu.com) และกุญแจส่วนตัวจะถูกเก็บเป็นความลับ ใช้กุญแจสาธารณะหนึ่งสามารถตรวจสอบลายเซ็นที่ทำโดยกุญแจส่วนตัว ในทำนองเดียวกันการรู้ว่ากุญแจสาธารณะของใครบางคนจะช่วยให้คุณสามารถเข้ารหัสข้อความที่ผู้ถือกุญแจลับนั้นสามารถอ่านได้เท่านั้น
อ่านเพิ่มเติม: GnuPG สำหรับใช้ประจำวัน (Mini How-To ... )
ในบริบทนี้ที่เก็บ apt ที่คุณกำลังดาวน์โหลดแพคเกจควรลงชื่อด้วยรหัสลับเพื่อให้คุณสามารถตรวจสอบว่าแพ็คเกจที่คุณติดตั้งนั้นมาจากที่ใด
ไฟล์จริงในที่เก็บที่ลงชื่อคือReleaseไฟล์ ไฟล์นี้มีการตรวจสอบจำนวนไฟล์อื่น ๆ ในที่เก็บ ยกตัวอย่างเช่นที่นี่เป็นไฟล์สำหรับการอย่างเป็นทางการ Ubuntu 12.10 พื้นที่เก็บข้อมูลและลายเซ็นของจีพีจีที่สอดคล้องกัน เมื่อคุณติดตั้งแพคเกจaptตรวจสอบลายเซ็น
อ่านเพิ่มเติม: ทั้งหมดเกี่ยวกับการรักษาความปลอดภัยฉลาด
พับลิกคีย์สำหรับเก็บถาวร Ubuntu อย่างเป็นทางการนั้นทราบโดยคอมพิวเตอร์ของคุณแล้ว แต่ถ้าคุณต้องการเพิ่ม PPA หรือที่เก็บของบุคคลที่สามคุณต้องนำเข้ากุญแจของพวกเขา หากคุณพยายามอัปเดตที่เก็บซึ่งไม่มีคีย์คุณจะเห็นคำเตือนเช่น:
W: GPG error: http://ppa.launchpad.net oneiric Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY B725097B3ACC3965
เมื่อคุณติดตั้งแพคเกจจากพื้นที่เก็บข้อมูลนั้นคุณจะได้รับคำเตือนด้วย:
WARNING: The following packages cannot be authenticated!
dropbox
Install these packages without verification [y/N]?
ในขณะที่คำเตือนเหล่านี้สามารถถูกปิดเสียงได้ด้วยการรันaptด้วยการ--allow-unauthenticatedตั้งค่าสถานะ แต่เป็นการดีกว่าที่จะเพิ่มคีย์ลงในระบบของคุณเพื่อให้คุณสามารถใช้ประโยชน์จากการรักษาความปลอดภัยที่เพิ่มขึ้น
เมื่อเพิ่ม PPAคุณควรใช้add-apt-repositoryเครื่องมือเนื่องจากจะจัดการการเพิ่มคีย์ให้คุณโดยอัตโนมัติ หากคุณต้องการเพิ่มคีย์ด้วยตนเองให้ใช้คำสั่งต่อไปนี้:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys KEY_ID_HERE
หากคุณต้องการทำสิ่งนี้โดยไม่ใช้เทอร์มินัลให้ดูคำตอบนี้