Sto cercando di creare chiavi GPG che verranno utilizzate per un repository apt ospitato sulla mia scatola Centos7. Ho creato un nuovo utente "apt", quindi ho provato a creare le chiavi, ma alla fine si afferma che ho bisogno di una passphrase, ma poi si chiude all'istante dichiarando annullato dall'utente. No, non lo era!
Da allora ho ripetuto con successo questi stessi passaggi come root e come nome utente standard che si trova nel gruppo ruote.
Due domande:
- È una buona idea usare chiavi gpg diverse per usi diversi come questo repository apt, e le chiavi dovrebbero mai essere create come root?
- Perché non riesco a creare una chiave gpg per questo utente? Devo prima creare un'altra chiave per questo utente?
Grazie
[[email protected] ~]$ gpg --gen-key
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection?
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 1y
Key expires at Thu 12 Jul 2018 04:32:05 PM UTC
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: somename
Email address: [email protected]
Comment:
You selected this USER-ID:
"somename <[email protected]>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
gpg: cancelled by user
gpg: Key generation canceled.
[[email protected] ~]$
Risposta accettata:
Per quanto riguarda l'errore "cancellato dall'utente":GnuPG cerca di assicurarsi che stia leggendo la passphrase direttamente dal terminale, non (ad esempio) tramite pipe da stdin. Per farlo, prova ad aprire direttamente tty. Sfortunatamente, le autorizzazioni dei file si intromettono:il dispositivo tty è di proprietà dell'utente con cui accedi. Quindi solo quell'utente e root possono aprirlo. GnuPG sembra segnalare l'errore in modo errato, dicendo che hai annullato (quando in realtà ha ottenuto un'autorizzazione negata).
Come se dovessi avere una chiave separata per il repository:sì. Ci sono un paio di ragioni che mi vengono in mente:
- Un repository può essere gestito da più di una persona. Tutti avranno bisogno di accedere alla chiave. Ovviamente non vuoi dare loro l'accesso alla tua chiave personale.
- Il software che elabora i nuovi pacchetti dovrà accedere alla chiave. Per molti repository, ciò significa che devi mantenere la chiave disponibile su una macchina connessa a Internet. Ciò richiede un livello di sicurezza inferiore a quello che avresti idealmente sulla tua chiave personale.
- Se stai elaborando i caricamenti automaticamente, potresti anche dover memorizzare la chiave senza passphrase. Ovviamente riduce la sicurezza.
- In caso di compromissione della tua chiave personale, è bello doverlo solo revocare. Lo stesso vale per la compromissione della chiave del repository. Rende più conveniente revocare una chiave compromessa.
È abbastanza normale usare la tua chiave personale per firmare la chiave del repository.
Per quanto riguarda l'esecuzione della generazione delle chiavi come root:non è l'ideale (non eseguire le cose come root senza una buona ragione), ma probabilmente non è un vero problema.