apt-get 如何检查所接收下载文件的完整性？

Question

在 apt 存储库的根目录中有一个Release文件，其中包含哈希各种Contents、Release和Packages文件的哈希值。这些Packages文件又包含各个.deb包文件的哈希值。在与根文件相同的位置Release，有一个Release.gpg文件，其中包含通用石油气电子签名的Release文件，用私钥属于存储库维护者，使用公钥加密。

当apt-get下载Release文件到存储库时，它将自动尝试使用系统上的公钥文件验证数字签名。如果签名所用的密钥对中的公钥未在您的系统上注册，系统将提示您批准它；此时，您可以联系存储库维护者或第三方，通过比较指纹来验证公钥是否真实（或者，如果您有一份您已经知道是真实的公钥副本，您可以在运行之前将其添加进去apt-key）apt-get。之后，apt-get从存储库下载的任何文件都将根据Release或Packages文件中的校验和进行检查。

Release和文件中的哈希值Packages是 apt 的正常数据完整性功能。添加 GPG 签名是德比安调用安全设施（请参阅该链接了解更多详情）。

Answer 1

在 apt 存储库的根目录中有一个Release文件，其中包含哈希各种Contents、Release和Packages文件的哈希值。这些Packages文件又包含各个.deb包文件的哈希值。在与根文件相同的位置Release，有一个Release.gpg文件，其中包含通用石油气电子签名的Release文件，用私钥属于存储库维护者，使用公钥加密。

当apt-get下载Release文件到存储库时，它将自动尝试使用系统上的公钥文件验证数字签名。如果签名所用的密钥对中的公钥未在您的系统上注册，系统将提示您批准它；此时，您可以联系存储库维护者或第三方，通过比较指纹来验证公钥是否真实（或者，如果您有一份您已经知道是真实的公钥副本，您可以在运行之前将其添加进去apt-key）apt-get。之后，apt-get从存储库下载的任何文件都将根据Release或Packages文件中的校验和进行检查。

Release和文件中的哈希值Packages是 apt 的正常数据完整性功能。添加 GPG 签名是德比安调用安全设施（请参阅该链接了解更多详情）。

apt-get 如何检查所接收下载文件的完整性？

答案1

相关内容