Mencoba membuat kunci GPG yang akan digunakan untuk repositori apt yang dihosting di kotak Centos7 saya. Saya membuat pengguna baru "apt", dan kemudian mencoba membuat kunci, tetapi pada akhirnya, ini menyatakan bahwa saya memerlukan frasa sandi, tetapi kemudian langsung ditutup dengan menyatakan dibatalkan oleh pengguna. Tidak!
Sejak itu saya telah berhasil mengulangi langkah-langkah root yang sama ini dan sebagai nama pengguna standar saya yang kebetulan berada di grup roda.
Dua pertanyaan:
- Apakah sebaiknya menggunakan kunci gpg yang berbeda untuk penggunaan yang berbeda seperti repositori apt ini, dan haruskah kunci dibuat sebagai root?
- Mengapa saya tidak dapat membuat kunci gpg untuk pengguna ini? Apakah saya harus terlebih dahulu membuat beberapa kunci lain untuk pengguna ini?
Terima kasih
[[email protected] ~]$ gpg --gen-key
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection?
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 1y
Key expires at Thu 12 Jul 2018 04:32:05 PM UTC
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: somename
Email address: [email protected]
Comment:
You selected this USER-ID:
"somename <[email protected]>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
gpg: cancelled by user
gpg: Key generation canceled.
[[email protected] ~]$
Jawaban yang Diterima:
Mengenai kesalahan “dibatalkan oleh pengguna”:GnuPG mencoba memastikan bahwa ia membaca frasa sandi langsung dari terminal, bukan (mis.) disalurkan dari stdin. Untuk melakukannya, ia mencoba membuka tty secara langsung. Sayangnya, izin file menghalangi — perangkat tty dimiliki oleh pengguna yang Anda masuki. Jadi hanya pengguna dan root yang dapat membukanya. GnuPG tampaknya melaporkan kesalahan secara tidak benar, dengan mengatakan bahwa Anda membatalkan (padahal izinnya ditolak).
Seperti apakah Anda harus memiliki kunci terpisah untuk repositori:ya. Ada beberapa alasan yang terlintas dalam pikiran:
- Repositori dapat dikelola oleh lebih dari satu orang. Semuanya akan membutuhkan akses ke kunci. Anda jelas tidak ingin memberi mereka akses ke kunci pribadi Anda.
- Perangkat lunak yang memproses paket baru akan memerlukan akses ke kunci. Untuk banyak repositori, itu berarti Anda harus menyimpan kunci di mesin yang terhubung ke Internet. Ini memerlukan tingkat keamanan yang lebih rendah daripada yang idealnya Anda miliki pada kunci pribadi Anda.
- Jika Anda memproses unggahan secara otomatis, Anda bahkan mungkin perlu menyimpan kunci tanpa frasa sandi. Jelas menurunkan keamanan.
- Jika kunci pribadi Anda disusupi, sebaiknya Anda mencabutnya saja. Sama dengan kompromi kunci repositori. Itu membuat mencabut kunci yang disusupi menjadi lebih murah.
Sangat normal menggunakan kunci pribadi Anda untuk menandatangani kunci repositori.
Mengenai menjalankan pembuatan kunci sebagai root:tidak ideal (jangan menjalankan sesuatu sebagai root tanpa alasan yang jelas), tetapi sepertinya tidak terlalu menjadi masalah.