Version vom 5. September 2024, 11:32 Uhr

apt-key - Veraltetes APT-Schlüsselverwaltungsprogramm

Beschreibung

apt-key(8) wird zuletzt in Debian 12 und Ubuntu 24.04 verfügbar sein

Mit apt-key kann der von apt zur Authentifizierung von Paketen verwendete Schlüsselring verwaltet werden

Pakete, die mit einem Schlüssel aus dem Schlüsselring authentifiziert wurden, werden als vertrauenswürdig angesehen

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden

Pakete, die mit diesen Schlüsseln authentifiziert wurden diese Schlüssel authentifiziert wurden, werden als vertrauenswürdig angesehen

Die Verwendung von apt-key ist veraltet

mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten, um vorhandene Schlüssel aus dem Hauptschlüsselring Schlüsselbund zu entfernen
Wenn eine solche Verwendung von apt-key gewünscht wird, ist die zusätzliche Installation der GNU Privacy Guard Suite (in gnupg verpackt) erforderlich

Installation

Syntax

apt-key [--keyring filename] {add filename | del keyid | export keyid | exportall | list | finger | adv | update | net-update | {-v | --version} | {-h | --help}}

Optionen

Beachten Sie, dass die Optionen vor den im vorherigen Abschnitt beschriebenen Befehlen definiert werden müssen

--keyring filename (veraltet) Mit dieser Option ist es möglich, eine bestimmte Schlüsseldatei anzugeben, mit der der Befehl arbeiten soll

Die Voreinstellung ist, dass ein

Befehl auf die Datei trusted.gpg sowie auf alle Teile im Verzeichnis trusted.gpg.d ausgeführt wird, obwohl trusted.gpg der primäre Schlüsselbund ist, was bedeutet, dass z.B

neue Schlüssel zu diesem hinzugefügt werden

Parameter

Schlüsselring bearbeiten

add	Schlüssel hinzufügen
del	Schlüssel löschen
list	Schlüssel auflisten
update	Schlüssel aktualisieren

Umgebungsvariablen

Exit-Status

Anwendungen

add

add und wget

Schlüssel zu Fremdquellen werden manchmal mit der Fremdquelle zusammen auf dem Webserver des Projekts veröffentlicht. Dann kann man den Schlüssel mit wget herunterladen und sofort an die Schlüsselverwaltung übergeben. Im Beispiel wird der Schlüssel für die Paketquelle des Browsers Opera heruntergeladen:

wget -O - http://deb.opera.com/archive.key | apt-key add -

adv

Nutzt man adv, kann man alle Optionen, die GnuPG im Hintergrund benutzt, selbst angeben statt Standardwerte zu benutzen.

apt-key adv --keyserver PGP_KEY_SERVER --recv-keys ID

lädt die Schlüssel-ID vom angegebenen Server herunter.

Schlüssel austauschen

1. Schlüssel auflisten lassen

apt-key list

2. Alten Schlüssel löschen

apt-key del 95BD4743

3. Neuen Schlüssel importieren

wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg

Manuell importieren

curl https://packages.cisofy.com/keys/cisofy-software-public.key -o /tmp/cisofy-software-public.key ;apt-key add /tmp/cisofy-software-public.key

add

add fügt dem Schlüsselbund einen neuen Schlüssel hinzu. Dieser kann entweder in einer Datei gespeichert sein oder aus dem stdin - einer Weiterleitung der Ausgabe eines vorherigen Befehls - kommen, was dann durch ein - angezeigt wird

# apt-key add DATEI

oder

# apt-key add -

del

del löscht einen vorhanden Schlüssel aus dem Schlüsselbund. Der zu löschende Schlüssel muss mit seiner ID angegeben werden

apt-key del ID

export

export gibt einen Schlüssel, der durch seine ID bezeichnet wird, auf stdout zur Weiterverarbeitung aus

apt-key export ID

exportall

exportall gibt alle derzeit bekannten Schlüssel auf stdout aus

apt-key exportall

list

list zeigt alle im Schlüsselbund vorhandenen Schlüssel mit Namen und ID an. Optional kann ein spezieller Schlüssel mit der ID ID angezeigt werden

apt-key list ID

finger

finger zeigt den Fingerabdruck aller derzeit bekannten Schlüssel auf stdout an

adv

apt-key adv

adv erlaubt die Angabe spezieller Parameter für das im Hintergrund arbeitende GnuPG (gpg). Alle aus gpg bekannten Parameter können angegeben werden. adv benötigt die Angabe der zu verarbeitenden Schlüssel-ID

apt-key adv gpg-option ID

update

update lädt die Signaturschlüssel für die zum jeweiligen Release gehörenden Hauptrepositories neu und löscht abgelaufene Schlüssel aus dem Schlüsselbund

apt-key update

Optionen

apt-key kennt nur eine Option --keyring, mit der ein alternativer Schlüsselbund zur Bearbeitung übergeben werden kann

Konfiguration

Dateien

Datei	Beschreibung
/etc/apt/trusted.gpg	Schlüsselbund der lokalen vertrauenswürdigen Schlüssel, neue Schlüssel werden hier hinzugefügt. Konfigurationspunkt: Dir::Etc::Trusted
/etc/apt/trusted.gpg.d/	Dateifragmente für die vertrauenswürdigen Schlüssel zusätzliche Schlüsselringe können hier gespeichert werden durch andere Pakete oder den Administrator Konfigurationspunkt Dir::Etc::TrustedParts
/etc/apt/keyrings/	Ort zum Speichern zusätzlicher Schlüssel die mit Signed-By verwendet werden sollen

Anhang

Siehe auch

apt-secure

Dokumentation

Man-Pages

APT-KEY(8)

Links

Projekt

Weblinks

TMP

UNTERSTÜTZTE SCHLÜSSELBUNDDATEIEN

apt-key unterstützt nur das binäre OpenPGP-Format (auch bekannt als "GPG key public ring") in Dateien mit der Erweiterung "gpg", nicht das Keybox-Datenbankformat, das in neueren gpg(1)-Versionen als Standard für Schlüsselbunddateien eingeführt wurde

Binäre Schlüsselbunddateien, die für mit einer beliebigen apt-Version verwendet werden sollen, sollten daher immer mit gpg --export erstellt werden

Wenn alle Systeme, die den erzeugten Schlüsselring verwenden sollen, mindestens die Version apt >= 1.4 installiert haben, können Sie alternativ das das ASCII-armor-Format mit der Erweiterung "asc" verwenden, das mit gpg --armor --export erzeugt werden kann

DEPRECATION

Mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten ist die Verwendung von apt-key veraltet

Dieser Abschnitt zeigt, wie man die

Verwendung von apt-key ersetzt

Wenn Ihre bisherige Verwendung von apt-key add wie folgt aussieht:

wget -qO- https://myrepo.example/myrepo.asc | sudo apt-key add -

Dann können Sie dies direkt ersetzen durch (beachten Sie jedoch die Empfehlung unten):

wget -qO- https://myrepo.example/myrepo.asc | sudo tee /etc/apt/trusted.gpg.d/myrepo.asc

Stellen Sie sicher, dass Sie die Erweiterung "asc" für ASCII-gepanzerte Schlüssel und die Erweiterung "gpg" für das binäre OpenPGP-Format verwenden (auch bekannt als bekannt als "GPG key public ring")

Das binäre OpenPGP-Format funktioniert für alle apt-Versionen, während das ASCII-gepanzerte Format für apt

Version >= 1.4

Empfohlen: Anstatt die Schlüssel im Verzeichnis /etc/apt/trusted.gpg.d abzulegen, können Sie sie auch an einem beliebigen Ort in Ihrem Dateisystem ablegen indem Sie die Option Signed-By in Ihrer sources.list verwenden und auf den Dateinamen des Schlüssels verweisen

Siehe sources.list(5) für Details

Seit APT 2.4 wird /etc/apt/keyrings als empfohlener Ort für Schlüssel, die nicht von Paketen verwaltet werden, angegeben

Bei Verwendung einer sources.list im Stil von deb822 und mit einer apt-Version >= 2.4 kann die Option Signed-By auch verwendet werden, um den vollständigen ASCII-gepanzerten

Schlüsselbund direkt in die sources.list aufzunehmen, ohne eine zusätzliche Datei

@@ Zeile 145: / Zeile 145: @@
 Wenn alle Systeme, die den erzeugten Schlüsselring verwenden sollen, mindestens die Version apt >= 1.4 installiert haben, können Sie alternativ das das ASCII-armor-Format mit der Erweiterung "asc" verwenden, das mit gpg --armor --export erzeugt werden kann
-== KOMMANDOS ==
-add filename (veraltet)
-Fügt einen neuen Schlüssel in die Liste der vertrauenswürdigen Schlüssel ein
-* Der Schlüssel wird aus dem Dateinamen gelesen, der mit dem Parameter filename angegeben wurde, oder, wenn der
-Dateiname ist - von der Standardeingabe
-Es ist wichtig, dass manuell über apt-key hinzugefügte Schlüssel auf ihre Zugehörigkeit zum Besitzer der Repositories, für die sie sich ausgeben, überprüft werden
-für die sie zu sein vorgeben, andernfalls wird die apt-secure(8)-Infrastruktur vollständig unterminiert
-Hinweis: Anstatt diesen Befehl zu verwenden, sollte ein Schlüsselbund direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ gelegt werden, mit einem beschreibenden Namen und entweder "gpg" oder "asc" als Dateierweiterung abgelegt werden
-del keyid (meist veraltet)
-Entfernt einen Schlüssel aus der Liste der vertrauenswürdigen Schlüssel
-export keyid (veraltet)
-Gibt den Schlüssel keyid auf der Standardausgabe aus
-exportall (veraltet)
-Gibt alle vertrauenswürdigen Schlüssel auf der Standardausgabe aus
-list, finger (veraltet)
-Listet vertrauenswürdige Schlüssel mit Fingerabdrücken auf
-adv (veraltet)
-Übergibt erweiterte Optionen an gpg
-* Mit adv --recv-key können Sie z.B
-* Schlüssel von Schlüsselservern direkt in den vertrauenswürdigen Satz
-Schlüssel herunterladen
-* Beachten Sie, dass keine Prüfungen durchgeführt werden, so dass es einfach ist, die apt-secure(8)-Infrastruktur komplett zu untergraben, wenn unvorsichtig verwendet wird
-update (veraltet)
-Aktualisiert den lokalen Schlüsselbund mit dem Archivschlüsselbund und entfernt aus dem lokalen Schlüsselbund die Archivschlüssel, die nicht mehr gültig sind
-* Der Archiv-Schlüsselring wird im archive-keyring-Paket Ihrer Distribution ausgeliefert, z.B
-* das debian-archive-keyring
-Paket in Debian
-Beachten Sie, dass eine Distribution diesen Befehl nicht mehr verwenden muss und auch nicht mehr verwenden sollte und stattdessen Schlüsselringdateien direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ ausliefern, da dies eine Abhängigkeit von gnupg vermeidet und es einfacher ist, Schlüssel zu verwalten, indem durch einfaches Hinzufügen und Entfernen von Dateien für Betreuer und Benutzer gleichermaßen
-net-update (veraltet)
-Führt eine Aktualisierung durch, die ähnlich wie der obige Aktualisierungsbefehl funktioniert, holt aber stattdessen den Archivschlüsselring von einer URI und validiert ihn gegen einen Hauptschlüssel
-* Dies erfordert ein installiertes wget(1) und ein APT-Build, das so konfiguriert ist, dass es einen Server zum Abrufen und einen Master-Schlüsselring zum Überprüfen
-* APT in Debian unterstützt diesen Befehl nicht und verlässt sich stattdessen auf update, aber Ubuntu's
-APT von Ubuntu tut dies
 == DEPRECATION ==