Warum muss ich einen GPG-Schlüssel mit apt-key hinzufügen, bevor ich apt / source eine Download-URL hinzufüge und mit apt-get install herunterlade und installiere?
Der Grund ist einfach: Sicherheit.
Wenn Sie dies nicht tun, apt-get update
jammern Sie zunächst, dass einige Schlüssel nicht gefunden wurden, und laden Sie "nicht vertrauenswürdige" Paketlisten herunter. Wenn Sie dies tun apt-get install
, werden Sie zweimal mit großen Buchstaben gefragt, ob Sie Pakete aus nicht vertrauenswürdigen Quellen installieren. Für jeden Benutzer wäre diese Warnung alarmierend (wenn er sie liest). Um zu verhindern, dass "NOPUBKEY gefunden" und ähnliche Fragen gelöst werden, geben Repository-Besitzer häufig an, wie sie ihre Schlüssel hinzufügen, bevor sie überhaupt anfangen, damit Benutzer dies nicht verpassen Schritt.
Zweitens ist die Sicherheit unvollständig, wenn Sie diesen Schritt verpassen und die Warnung ignorieren. Sie haben einige Paketlisten von einer Site heruntergeladen, die Sie nicht überprüft haben. Jeder Riss könnte von jemandem ausgenutzt worden sein und Sie dazu verleitet haben, schädliche Software zu installieren. Wenn Sie die Schlüssel seit dem Start hinzugefügt haben, haben Sie sichere Transaktionen von Anfang bis Ende mit dem Repository-Betreuer.
Drittens bedeutet das Hinzufügen eines Schlüssels, dass Sie diesem Schlüssel vertrauen . Sie sagen dem System, dass Sie der Person vertrauen, die sich mit diesem Schlüssel identifiziert, und Sie möchten Software von ihr installieren.