如何知道存储库使用哪个密钥进行签名(反之亦然)？

Question

我希望在我的/etc/apt/share.list.d/debian.source的所有存储库上使用signed-by选项，指向/usr/share/keyring中的键，而不是/etc/apt/trud.gpg.d，然后禁用这个目录，正如我所理解的那样，这种旧的操作方式是不安全的。我不知道这是否只适用于第三方存储库，但最好是安全的，而不是对不起。

但是，当添加signed-by选项时，我发现自己无法知道要链接到哪个repo的键，因为键的名称与repos不匹配：

debian- debian-archive-bullseye-security-automatic.gpg debian

My /etc/apt/ looking .list.d/looking.

类型: deb URI: /usr/share/keyrings/debian-archive-buster-stable.gpg Suite: buster组件: main Signed-By: /usr/share/keyrings/debian-archive-buster-security-automatic.gpg类型: deb-src URI：https://deb.debian.org/debian/ Suite: buster Components: main Signed-By: deb URI：https://security.debian.org/debian-security Suites: buster/ URIs: main Signed-By: /usr/share/keyrings/debian-archive-buster-security-automatic.gpg类型：C8组件:主签名-By: /usr/share/keyrings/debian-archive-buster-automatic.gpg类型: deb URI：https://deb.debian.org/debian/ Suites: buster- code>组件: /usr/share/keyrings/debian-archive-buster-automatic.gpg Suites：https://deb.debian.org/debian Suites: buster-src URI：https://deb.debian.org/debian/ Suites: buster- URIs: main Signed-By: /usr/share/keyrings/debian-archive-buster-automatic.gpg类型：C11Suites:buster-backports组件:主签名: /usr/share/keyrings/debian-archive-buster-automatic.gpg

这不会在执行apt update时抛出任何错误，而且我可以安装软件，但是我想知道一种方法，可以确定我应该为每个回购添加哪个键到signed-by选项中，而不必进行猜测，也会留下疑问。

我知道apt-key list，但信息几乎是一样的，"Debian自动签名密钥“应该如何告诉我们，它是如何签署破坏更新和破坏-支持？一个键可以签署多个套间，这是正常的吗？我本以为每个套间都有一把钥匙。

另外，相反的是:我怎么知道什么是关键的标志？我如何知道我在/usr/share/keyring中没有无用的密钥，或者它们正在对恶意存储库进行签名？

Answer 1

对于上下文，当前第三方存储库的最佳实践记录在在Debian wiki页面中使用第三方存储库.和这篇“如何正确使用第三方Debian存储库与apt签署密钥”的博客文章中。最后，它们应该扩展到Debian自己的存储库中，例如，请参阅本期。

假设您信任当前的设置，则可以通过列出用于签名的密钥将已签名的存档版本文件映射到密钥；例如：

$ gpgv /var/lib/apt/lists/security.debian.org_dists_buster_updates_InRelease
gpgv: Signature made Mon 07 Jun 2021 23:03:07 CEST
gpgv:                using RSA key 379483D8B60160B155B372DDAA8E81B4331F7F50
gpgv: Can't check signature: No public key
gpgv: Signature made Mon 07 Jun 2021 23:03:07 CEST
gpgv:                using RSA key 5237CEEEF212F3D51C74ABE0112695A0E562B32A
gpgv: Can't check signature: No public key

显示Debian 10安全更新由RSA密钥379483D8B60160B155B372DDAA8E8331F7F50和5237CEEEF212F3D51C74ABE012695A0E562B32A签名。分别是“自动签名密钥(9/拉伸)”和“自动签名密钥(10/buster)”。要确定这一点，请查看/usr/share/keyrings中的各个键环，并使用一个命令(如for file in /usr/share/keyrings/*.gpg; do echo $file; gpg --list-keys --no-default-keyring --with-subkey-fingerprint --keyring $file; done )。

这并不理想；对于更权威的使用信息，您可以应用以下规则：

• “稳定”键(例如：“Debian稳定版本密钥(10/buster)”)与相应的稳定存储库一起使用；
• 自动键是使用在他们的公告电子邮件，例如巴斯特钥匙和牛头钥匙描述。

存储库索引通常由两个键签名，以允许一些重叠。

您不应该关心/usr/share/keyrings下的单个文件，而应该关心在那里提供文件的包(当然，也关心包不提供的文件)。但是，上面描述的映射也可以找到不再用于您的设置中的键。

从APT 2.4开始，中指定签名密钥.sources小片段是可能的。

URIs: https://deb.debian.org
Suites: stable
Components: main contrib non-free
Signed-By:
 -----BEGIN PGP PUBLIC KEY BLOCK-----
...
 -----END PGP PUBLIC KEY BLOCK-----