Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment sont gérées les clefs GPG pour authentifier un logiciel?

metalux

Bonjour,
J'ai quelques interrogations sur la gestion des clefs. J'ai Spotify d'installé via leur dépôt.
Si je tape:

gpg --keyserver keyserver.ubuntu.com --search-key 'Spotify Public Repository Signing Key'

J'ai le choix suivant:

(1) Spotify Public Repository Signing Key <tux@spotify.com>
4096 bit RSA key 48BF1C90, créé : 2018-05-23, expire : 2019-08-16
(2) Spotify Public Repository Signing Key <tux@spotify.com>
4096 bit RSA key 341D9410, créé : 2017-07-25, expire : 2018-07-25
(3) Spotify Public Repository Signing Key <operations@spotify.com>
4096 bit RSA key D2C19886, créé : 2015-05-28, expire : 2017-11-22 (expirée)
(4) Spotify Public Repository Signing Key <operations@spotify.com>
2048 bit RSA key 94558F59, créé : 2012-06-25, expire : 2015-06-25 (expirée)
(5) Spotify Public Repository Signing Key <operations@spotify.com>
1024 bit DSA key 4E9CFF4E, créé : 2010-06-23, expire : 2012-06-22 (expirée)

J'ajoute la 1 et la 2 pour avoir les clefs à jour.
Si je fais:

sudo apt-key list | grep spotify

J'ai le résultat suivant:

Spotify Public Repository Signing Key <tux@spotify.com>
/etc/apt/trusted.gpg.d/spotify-2015-05-28-D2C19886.gpg
uid Spotify Public Repository Signing Key <operations@spotify.com>
/etc/apt/trusted.gpg.d/spotify-2017-07-25-341D9410.gpg
uid Spotify Public Repository Signing Key <tux@spotify.com>

Je n'ai pas la clef la plus récente malgré que je l'ai ajoutée. J'anticipe car la clef actuelle sera périmée le 25 juillet.
~~Par ailleurs, j'ai une clef obsolète qui reste même si je la supprime avec apt-key del.~~ Oublié le sudo :rolleyes:
Du coup, je suppose qu'il y a une commande pour mettre à jour la liste des clefs, est-ce exact?
Ces clefs n'apparaissent pas non plus dans l'interface graphique "Sources et logiciels", je n'y comprends rien. Qu'est-ce que je fais comme erreur?
Edit: La clef 341D9410 apparaît maintenant alors qu'elle n'apparaissait pas dans l'interface graphique avant malgré qu'elle était présente. Une de mes commandes a dû l'ajouter mais je n'y comprends pas grand chose à vrai dire.

ylag

Bonjour,

Je pense que c'est lié à la façon dont les clés sont installées ?

Si c'est via une commande apt passée manuellement, ça semble s'installer dans /etc/apt/trusted.gpg, si c'est installé automatiquement par un paquet, ça s'installera dans le sous-dossier /etc/apt/trusted.gpg.d/

Les clés installées via la commande gpg semblent l'être dans un dossier local /home/<utilisateur>/.gnupg/

Il semblerait aussi que seules les clés installées dans /etc/apt/trusted.gpg et /etc/apt/trusted.gpg.d/ n'apparaîssent dasn l'onglet "Authentification" de "Logiciels & mises à jour", testé chez-moi autant en Ubuntu 16.04 que 18.04.

Ce comportement semble décrit dans les pages "man" de apt-key et de gpg, bien que leur sens me semble un peu obscur :/

Voici un retour de commandes sous Ubuntu 16.04 d'une tentative d'installation manuelle de la clé publique Spotify:

yvan@yvan-maison:~$ gpg --keyserver keyserver.ubuntu.com --search-key 'Spotify Public Repository Signing Key'
gpg: le porte-clefs « /home/yvan/.gnupg/secring.gpg » a été créé
gpg: recherche de « Spotify Public Repository Signing Key » sur le serveur hkp keyserver.ubuntu.com
(1)	Spotify Public Repository Signing Key <tux@spotify.com>
	  4096 bit RSA key 48BF1C90, créé : 2018-05-23, expire : 2019-08-16
(2)	Spotify Public Repository Signing Key <tux@spotify.com>
	  4096 bit RSA key 341D9410, créé : 2017-07-25, expire : 2018-07-25
(3)	Spotify Public Repository Signing Key <operations@spotify.com>
	  4096 bit RSA key D2C19886, créé : 2015-05-28, expire : 2017-11-22 (expirée)
(4)	Spotify Public Repository Signing Key <operations@spotify.com>
	  2048 bit RSA key 94558F59, créé : 2012-06-25, expire : 2015-06-25 (expirée)
(5)	Spotify Public Repository Signing Key <operations@spotify.com>
	  1024 bit DSA key 4E9CFF4E, créé : 2010-06-23, expire : 2012-06-22 (expirée)
Keys 1-5 of 5 for "Spotify Public Repository Signing Key".  Entrez le ou les nombres, (S)uivant, ou (Q)uitter > 1
gpg: demande de la clef 48BF1C90 sur le serveur hkp keyserver.ubuntu.com
gpg: clef 48BF1C90 : clef publique « Spotify Public Repository Signing Key <tux@spotify.com> » importée
gpg: Quantité totale traitée : 1
gpg:               importées : 1  (RSA: 1)
yvan@yvan-maison:~$

yvan@yvan-maison:~$ apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/437D05B5 2004-09-12
uid                  Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub   2048g/79164387 2004-09-12

pub   4096R/C0B21F32 2012-05-11
uid                  Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>

pub   4096R/EFE21092 2012-05-11
uid                  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

pub   1024D/FBB75451 2004-12-30
uid                  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

pub   1024D/7FAC5991 2007-03-08
uid                  Google, Inc. Linux Package Signing Key <linux-packages-keymaster@google.com>
sub   2048g/C07CB649 2007-03-08

pub   4096R/D38B4796 2016-04-12
uid                  Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
sub   4096R/640DB551 2016-04-12 [expire : 2019-04-12]
sub   4096R/997C215E 2017-01-24 [expire : 2020-01-24]

/etc/apt/trusted.gpg.d/gpredict-team_ubuntu_ppa.gpg
---------------------------------------------------
pub   1024R/AF1773BB 2009-10-05
uid                  Launchpad PPA for Gpredict Team

/etc/apt/trusted.gpg.d/opencpn_ubuntu_opencpn.gpg
-------------------------------------------------
pub   1024R/C865EB40 2012-05-24
uid                  Launchpad PPA for OpenCPN

yvan@yvan-maison:~$

yvan@yvan-maison:~$ gpg --list-keys
/home/yvan/.gnupg/pubring.gpg
-----------------------------
pub   4096R/48BF1C90 2018-05-23 [expire : 2019-08-16]
uid                  Spotify Public Repository Signing Key <tux@spotify.com>

yvan@yvan-maison:~$

A+