#1 Le 05/06/2018, à 12:05
- metalux
Comment sont gérées les clefs GPG pour authentifier un logiciel?
Bonjour,
J'ai quelques interrogations sur la gestion des clefs. J'ai Spotify d'installé via leur dépôt.
Si je tape:
gpg --keyserver keyserver.ubuntu.com --search-key 'Spotify Public Repository Signing Key'J'ai le choix suivant:
(1) Spotify Public Repository Signing Key <tux@spotify.com>
4096 bit RSA key 48BF1C90, créé : 2018-05-23, expire : 2019-08-16
(2) Spotify Public Repository Signing Key <tux@spotify.com>
4096 bit RSA key 341D9410, créé : 2017-07-25, expire : 2018-07-25
(3) Spotify Public Repository Signing Key <operations@spotify.com>
4096 bit RSA key D2C19886, créé : 2015-05-28, expire : 2017-11-22 (expirée)
(4) Spotify Public Repository Signing Key <operations@spotify.com>
2048 bit RSA key 94558F59, créé : 2012-06-25, expire : 2015-06-25 (expirée)
(5) Spotify Public Repository Signing Key <operations@spotify.com>
1024 bit DSA key 4E9CFF4E, créé : 2010-06-23, expire : 2012-06-22 (expirée)
J'ajoute la 1 et la 2 pour avoir les clefs à jour.
Si je fais:
sudo apt-key list | grep spotifyJ'ai le résultat suivant:
Spotify Public Repository Signing Key <tux@spotify.com>
/etc/apt/trusted.gpg.d/spotify-2015-05-28-D2C19886.gpg
uid Spotify Public Repository Signing Key <operations@spotify.com>
/etc/apt/trusted.gpg.d/spotify-2017-07-25-341D9410.gpg
uid Spotify Public Repository Signing Key <tux@spotify.com>
Je n'ai pas la clef la plus récente malgré que je l'ai ajoutée. J'anticipe car la clef actuelle sera périmée le 25 juillet.
Par ailleurs, j'ai une clef obsolète qui reste même si je la supprime avec apt-key del. Oublié le sudo 
Du coup, je suppose qu'il y a une commande pour mettre à jour la liste des clefs, est-ce exact?
Ces clefs n'apparaissent pas non plus dans l'interface graphique "Sources et logiciels", je n'y comprends rien. Qu'est-ce que je fais comme erreur?
Edit: La clef 341D9410 apparaît maintenant alors qu'elle n'apparaissait pas dans l'interface graphique avant malgré qu'elle était présente. Une de mes commandes a dû l'ajouter mais je n'y comprends pas grand chose à vrai dire.
Dernière modification par metalux (Le 05/06/2018, à 12:09)
Hors ligne
#2 Le 06/06/2018, à 12:50
- ylag
Re : Comment sont gérées les clefs GPG pour authentifier un logiciel?
Bonjour,
Je pense que c'est lié à la façon dont les clés sont installées ?
Si c'est via une commande apt passée manuellement, ça semble s'installer dans /etc/apt/trusted.gpg, si c'est installé automatiquement par un paquet, ça s'installera dans le sous-dossier /etc/apt/trusted.gpg.d/
Les clés installées via la commande gpg semblent l'être dans un dossier local /home/<utilisateur>/.gnupg/
Il semblerait aussi que seules les clés installées dans /etc/apt/trusted.gpg et /etc/apt/trusted.gpg.d/ n'apparaîssent dasn l'onglet "Authentification" de "Logiciels & mises à jour", testé chez-moi autant en Ubuntu 16.04 que 18.04.
Ce comportement semble décrit dans les pages "man" de apt-key et de gpg, bien que leur sens me semble un peu obscur 
Voici un retour de commandes sous Ubuntu 16.04 d'une tentative d'installation manuelle de la clé publique Spotify:
yvan@yvan-maison:~$ gpg --keyserver keyserver.ubuntu.com --search-key 'Spotify Public Repository Signing Key'
gpg: le porte-clefs « /home/yvan/.gnupg/secring.gpg » a été créé
gpg: recherche de « Spotify Public Repository Signing Key » sur le serveur hkp keyserver.ubuntu.com
(1) Spotify Public Repository Signing Key <tux@spotify.com>
4096 bit RSA key 48BF1C90, créé : 2018-05-23, expire : 2019-08-16
(2) Spotify Public Repository Signing Key <tux@spotify.com>
4096 bit RSA key 341D9410, créé : 2017-07-25, expire : 2018-07-25
(3) Spotify Public Repository Signing Key <operations@spotify.com>
4096 bit RSA key D2C19886, créé : 2015-05-28, expire : 2017-11-22 (expirée)
(4) Spotify Public Repository Signing Key <operations@spotify.com>
2048 bit RSA key 94558F59, créé : 2012-06-25, expire : 2015-06-25 (expirée)
(5) Spotify Public Repository Signing Key <operations@spotify.com>
1024 bit DSA key 4E9CFF4E, créé : 2010-06-23, expire : 2012-06-22 (expirée)
Keys 1-5 of 5 for "Spotify Public Repository Signing Key". Entrez le ou les nombres, (S)uivant, ou (Q)uitter > 1
gpg: demande de la clef 48BF1C90 sur le serveur hkp keyserver.ubuntu.com
gpg: clef 48BF1C90 : clef publique « Spotify Public Repository Signing Key <tux@spotify.com> » importée
gpg: Quantité totale traitée : 1
gpg: importées : 1 (RSA: 1)
yvan@yvan-maison:~$yvan@yvan-maison:~$ apt-key list
/etc/apt/trusted.gpg
--------------------
pub 1024D/437D05B5 2004-09-12
uid Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub 2048g/79164387 2004-09-12
pub 4096R/C0B21F32 2012-05-11
uid Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>
pub 4096R/EFE21092 2012-05-11
uid Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
pub 1024D/FBB75451 2004-12-30
uid Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
pub 1024D/7FAC5991 2007-03-08
uid Google, Inc. Linux Package Signing Key <linux-packages-keymaster@google.com>
sub 2048g/C07CB649 2007-03-08
pub 4096R/D38B4796 2016-04-12
uid Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
sub 4096R/640DB551 2016-04-12 [expire : 2019-04-12]
sub 4096R/997C215E 2017-01-24 [expire : 2020-01-24]
/etc/apt/trusted.gpg.d/gpredict-team_ubuntu_ppa.gpg
---------------------------------------------------
pub 1024R/AF1773BB 2009-10-05
uid Launchpad PPA for Gpredict Team
/etc/apt/trusted.gpg.d/opencpn_ubuntu_opencpn.gpg
-------------------------------------------------
pub 1024R/C865EB40 2012-05-24
uid Launchpad PPA for OpenCPN
yvan@yvan-maison:~$yvan@yvan-maison:~$ gpg --list-keys
/home/yvan/.gnupg/pubring.gpg
-----------------------------
pub 4096R/48BF1C90 2018-05-23 [expire : 2019-08-16]
uid Spotify Public Repository Signing Key <tux@spotify.com>
yvan@yvan-maison:~$A+
Dernière modification par ylag (Le 06/06/2018, à 12:57)
Hors ligne