Intentando crear claves GPG que se utilizarán para un repositorio apto alojado en mi caja Centos7. Creé un nuevo usuario "apt" y luego traté de crear las claves, pero al final, dice que necesito una frase de contraseña, pero luego se cierra instantáneamente y dice que el usuario lo canceló. ¡No, no lo fue!
Desde entonces, he repetido con éxito estos mismos pasos como raíz y como mi nombre de usuario estándar, que está en el grupo de ruedas.
Dos preguntas:
- ¿Es una buena idea usar diferentes claves gpg para diferentes usos, como este repositorio apt, y alguna vez se deben crear claves como root?
- ¿Por qué no puedo crear una clave gpg para este usuario? ¿Necesito crear primero alguna otra clave para este usuario?
Gracias
[[email protected] ~]$ gpg --gen-key
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection?
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 1y
Key expires at Thu 12 Jul 2018 04:32:05 PM UTC
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: somename
Email address: [email protected]
Comment:
You selected this USER-ID:
"somename <[email protected]>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
gpg: cancelled by user
gpg: Key generation canceled.
[[email protected] ~]$
Respuesta aceptada:
En cuanto al error "cancelado por el usuario":GnuPG intenta asegurarse de que está leyendo la frase de contraseña directamente desde la terminal, no (por ejemplo) canalizada desde la entrada estándar. Para ello, intenta abrir el tty directamente. Desafortunadamente, los permisos de archivo se interponen:el dispositivo tty es propiedad del usuario con el que inicia sesión. Entonces solo ese usuario y root pueden abrirlo. GnuPG parece informar el error incorrectamente, diciendo que canceló (cuando en realidad se le denegó un permiso).
En cuanto a si debería tener una clave separada para el repositorio:sí. Hay un par de razones que me vienen a la mente:
- Un repositorio puede ser mantenido por más de una persona. Todos ellos necesitarán acceso a la llave. Obviamente, no desea darles acceso a su clave personal.
- El software que procesa nuevos paquetes necesitará acceso a la clave. Para muchos repositorios, eso significa que debe mantener la clave disponible en una máquina conectada a Internet. Esto requiere un nivel de seguridad más bajo del que idealmente tendría en su clave personal.
- Si procesa las cargas automáticamente, es posible que incluso deba almacenar la clave sin frase de contraseña. Obviamente reduce la seguridad.
- En caso de que su clave personal se vea comprometida, es bueno tener que revocarla. Lo mismo con el compromiso de la clave del repositorio. Hace que la revocación de una clave comprometida sea más económica.
Es bastante normal usar su clave personal para firmar la clave del repositorio.
En cuanto a ejecutar la generación de claves como root:no es lo ideal (no ejecute las cosas como root sin una buena razón), pero probablemente no sea realmente un problema.