Biztosan páran találkoztatok már valamely csomagkezelőben pop-up üzenetként vagy terminálban alábbi vagy hasonló üzenettel,

W: GPG error: ftp://ftp.debian.org/ testing Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F W: There is no public key available for the following key IDs: 010908312D230C5F

melyhez hasonló például ez is. (a sudo apt-get update parancs kiadása után a terminálban)

Csomaglisták olvasása... Kész
W: GPG hiba: http://ppa.launchpad.net precise Release: Az alábbi aláírások nem ellenőrizhetők, mert a nyilvános kulcs nem érhető el: NO_PUBKEY D6B6DB186A68F637

A Linux rendszereken a telepíthető csomagok különböző tárhelyeken, azaz szervereken találhatóak. A szerverek címei (URL) rendszeredben rögzítve és listázva vannak - nem töltögetsz le ismeretlen forrásból, azaz a rendszered tárolóit használod a mindennapokban - az úgynevezett forrás listában (/etc/apt/sources.list), amely egyszerűen egy szöveges fájl (text).

Lehetőség van külső alkalmazások használatára, ha másként nem lehetséges egy-egy kívánt csomag telepítése, azaz további tárhelyek (szerverek címeinek) felvételére. Láthatod a példában a debian testing tárhelyet vagy az ubuntu-nál használatos PPA-t. Erről a témáról nem beszélek bővebben, de alapos megfontolást kíván bármely, nem a rendszerhez tartozó tárhely felvétele. A PPA-k forráslistái alapértelmezetten nem a sources.list fájlba, hanem az /etc/apt/sources.list.d/ könyvtárba kerülnek, saját nevük alapján szintén szöveges fájlként.

Bármely csomagokat tároló szerver saját hitelesítési kulcsával kommunikál a számítógépeddel. A kulcsok ugyanúgy különbözőek, mint ahogy nincs két egyforma zár sem, máshogyan nem is lenne biztonságos a komunikáció. Tudnod kell, hogy ez a csomag biztosan a szerverről jön és nem valami "tréfa" áldozata leszel. Ez egy biztonságos megoldás, következésképpen a GPG kulcsra is szükséged van, ha telepítenél vagy frissítenél a szerveren található csomagok közül.

A megoldás, ha beszerzed a hitelesítési kulcsot. Ennek egy formája, ha egy hitelesítés végző szerverrel (több is van) annak adatbázisából elvégzed a kulcs hitelesítését.

A második kimenetet példának tekintve két parancsot kell kiadnod, a nálad hiányzó kulcsot másolva a dőlt karakterrel jelölt kulcs helyére a parancsokban.

- az első, a kulcs beszerzése

gpg --keyserver pgpkeys.mit.edu --recv-key D6B6DB186A68F637

- melynek kimenete ez lesz.

gpg: requesting key 6A68F637 from hkp server pgpkeys.mit.edu
gpg: /home/$USER/.gnupg/trustdb.gpg: Bizalmi adatbázis létrejött.
gpg: key 6A68F637: public key "Launchpad JDownloader PPA" imported
gpg: Nem találtam alapvetően megbízható kulcsot.
gpg:      Összesen feldolgoztam: 1
gpg:                 importálva: 1  (RSA: 1)

- a második, a kulcs használata a rendszereden (export),

gpg -a --export D6B6DB186A68F637 | sudo apt-key add -

- melynek rövid, de sokatmondó kimenete van.

OK

Ha ezek után kiadod a

sudo apt-get update

parancsot, az apt-get - vagy más csomagkezelő - nem fog panaszkodni hiányzó kulcsra.

A GPG hitelesítési kulcs a GNU Privacy Guard szavak rövidítése. "Elődje" a kereskedelmi változatú PGP (Pretty Good Privacy - "meglehetősen jó biztonság"), és az Open PGP-n szabványt veszi alapul, meglehetősen jól együttműködve azzal és a PGP-vel is. A GnuPG (GPG) jelenleg az RSA titkosítási algoritmust használja a kulcsokhoz.

Források, magyarázatok

http://askubuntu.com/questions/186805/difference-between-pgp-and-gpg

http://www.ehow.com/facts_7201163_pgp-encryption.html

https://www.gnupg.org/

https://www.gnupg.org/faq/gnupg-faq.html#define_rsa

http://superuser.com/questions/13164/what-is-better-for-gpg-keys-rsa-or-dsa

Más kulcs szerverek

keys.gnupg.net

hkp://subkeys.pgp.net

http://pgp.mit.edu

hkp://pool.sks-keyservers.net (supports secured key...: hkps://hkps.pool.sks-keyservers.net)

hkp://zimmermann.mayfirst.org (also supports secured key requests over TLS)

http://keyserver.ubuntu.com

( https://en.wikipedia.org/wiki/Key_server_%28cryptographic%29 )