|
Pokud chcete, aby váš zdroj byl považován za důvěryhodný, je třeba:
* vygenerovat pomocí nástroje [[Linux:gpg|gpg]] pár klíčů pro digitální podepisování a ověřování souborů.
* vyexportovat ''veřejný klíč'' a ten umístit (třeba zapouzdřený ve formě textového souboru) někam, odkud si jej mohou stáhnout lidé co chtějí používat vaše balíčky, nebo ověřovat či dešifrovat vámi podepsané či šifrované soubory.
Bez by toho bude apt při instalaci vašich balíčků vždy vyžadovat manuální schválení. Předtím, než se do toho pustíte se důkladně seznamte s tím jak se vlastně vůbec s klíči pracuje.
'''Externí odkazy'''
: http://digiweb.ok.cvut.cz/bezpecnost/gnupg-sekundarni-klice
====Vygenerování klíče====
Je jednoduchá operace. Mějte při ní na paměti, že se jimi budete podepisovat, tudíž zkompromituje-li se váš klíč, zkompromitujete se i vy. Nezapomínejte tedy na hesla a důkladné zajištění vašeho systému před nezvanými hosty.
<div style="background-color:#f0fff0;font-family:monospace;">
{{Linux:user}}[[Linux:gpg|gpg]] --gen-key
</div>
Při generování klíče budete vyzváni k zadání některých údajů (pokud je neposkytnete ve formě parametrů výše uvedenému příkazu rovnou:
# .. Metoda DSA a ElGamal
# .. Doba platnosti.
# .. Jméno a příjmení (identifikátor)
# .. Emailová adresa
# .. Komentář
# .. Heslo
{{Pozn|Identifikátor je textový řetězec, který bude později figurovat u podpisu jako jeho ''uid'' viz níže. Jako ''uid'' ale může fungovat také udaný e-mail}}
{{Pozor|Tímto získáte tzv. primární tajný klíč. Ten však má jednu nevýhodu. Nelze jej vyměnit za jiný. Při jeho zprofanování je nutné odvolat (revokovat) celou identitu a založit novou. V případě, že se používají sekundární tajné klíče, stačí revokovat pouze zprofanovaný sekundární klíč, a vytvořit nový.
}}
{{Pozn|Byť soubory s klíči nemají povinné žádné přípony, doporučuji abyste se drželi jedné konvence, abyste časem neměli v souborech s klíči galimatyáš. V následujících postupech uvádím tyto přípony:
'''.secret''' - pro primární tajný klíč
'''.subsecret''' - pro sekundární tajný klíč
'''.asc''' - soubor s klíčem v ascii kódu
}}
====Sekundární klíče====
Máte-li tedy vygenerován primární tajný klíč, přidejte k němu příkazem ''addkey'' sekundární klíče. Jeden pro podepisování ve formátu DSA a druhý pro šifrování.
Těmto klíčům nastavte dobu platnosti. Až jim vyprší, nebude nutné klíče odvolávat. Přestanou platit a vy si pomocí primárního klíče vytvoříte nové.
{{Příklad|1=
<div style="background-color:#f0fff0;font-family:monospace;">
{{Linux:user}}[[Linux:gpg|gpg]] --edit-key 8B4EB26A<br />
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.<br />
This is free software: you are free to change and redistribute it.<br />
There is NO WARRANTY, to the extent permitted by law.<br />
<br />
Tajný klíč je dostupný.<br />
<br />
pub 2048R/5869CEC3 vytvořen: 2006-02-23 platnost skončí: nikdy použití: SC<br />
důvěra: plná platnost: neznámý formát<br />
sub 2048R/5B8EAE8F vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: S<br />
sub 2048R/8B4EB26A vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: E<br />
[ neznámá ] (1). Jan Venda (VŠ Života) <jan.venda@zivot.edu><br />
[ neznámá ] (2) Jenda <jenda@venda.cz><br />
<br />
Příkaz> adduid<br />
Jméno a příjmení: Honza<br />
E-mailová adresa: honza@venda.cz<br />
Komentář: správce linuxových serverů na DCE FEL ČVUT<br />
Používáte znakovou sadu `utf-8'.<br />
Zvolil(a) jste tento identifikátor uživatele:<br />
"Honza (pan domácí) <honza@venda.cz>"<br />
<br />
Změnit (J)méno, (K)omentář, (E)-mail, (P)okračovat dál nebo (U)končit program? P<br />
<br />
Musíte znát heslo, abyste odemknul(a) tajný klíč pro<br />
uživatele: "Jan Venda (VŠ Života) <jan.venda@zivot.edu>"<br />
délka 2048 bitů, typ RSA, klíč 5869CEC3, vytvořený 2006-02-23<br />
<br />
<br />
pub 2048R/5869CEC3 vytvořen: 2006-02-23 platnost skončí: nikdy použití: SC<br />
důvěra: plná platnost: neznámý formát<br />
sub 2048R/5B8EAE8F vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: S<br />
sub 2048R/8B4EB26A vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: E<br />
[ neznámá ] (1). Jan Venda (VŠ Života) <jan.venda@zivot.edu><br />
[ neznámá ] (2) Jenda <jenda@venda.cz><br />
[ neznámá ] (3). Honza (pan domácí) <honza@venda.cz><br />
<br />
Příkaz> 1<br />
<br />
pub 2048R/5869CEC3 vytvořen: 2006-02-23 platnost skončí: nikdy použití: SC<br />
důvěra: plná platnost: neznámý formát<br />
sub 2048R/5B8EAE8F vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: S<br />
sub 2048R/8B4EB26A vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: E<br />
[ neznámá ] (1).* Jan Venda (VŠ Života) <jan.venda@zivot.edu><br />
[ neznámá ] (2) Jenda <jenda@venda.cz><br />
[ neznámá ] (3). Honza (pan domácí) <honza@venda.cz><br />
<br />
Příkaz> deluid<br />
Opravdu odstranit tento id uživatele? (a/N) a<br />
<br />
pub 2048R/5869CEC3 vytvořen: 2006-02-23 platnost skončí: nikdy použití: SC<br />
důvěra: plná platnost: neznámý formát<br />
sub 2048R/5B8EAE8F vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: S<br />
sub 2048R/8B4EB26A vytvořen: 2007-03-02 platnost skončí: 2009-03-31 použití: E<br />
[ neznámá ] (1) Jenda <jenda@venda.cz><br />
[ neznámá ] (2). Honza (pan domácí) <honza@venda.cz><br />
<br />
Příkaz>
</div>
}}
====Vyexportování veřejného klíče====
<div style="background-color:#f0fff0;font-family:monospace;">
{{Linux:user}}[[Linux:gpg|gpg]] --export [uid == jméno a příjmeni] > Soubor_s_klicem_v_asci_kodu.asc
</div>
ten buď uložit na veřejně přístupné místo, nebo na některý se serverů pro správu veřejných klíčů
====Naimportování veřejného klíče====
Získat soubor s veřejným klíčem buď přímo z webu, nebo ze serveru pro správu veřejných klíčů, např.: pks.gpg.cz nebo subkeys.pgp.net (defaultní server)
====Odvolání klíče====
Dojde-li ke kompromitaci vašeho klíče, nebo jej z nějakého jiného důvodu budete chtít prohlásit za neplatný, musíte provést tzv. ''revokaci'' (odvolání).
Ta spočívá v tom, že vygenerujete nejprve ''revokační (odvolávací) certifikát'' který pak umístíte někam, odkud si jej mohou stáhnout všichni ti co ověřují vámi podepsané soubory
<div style="background-color:#f0fff0;font-family:monospace;">
{{Linux:user}}[[Linux:gpg|gpg]] --gen-revoke něco na tns.cz
</div>
Pro odvolání certifikátu pak stačí, aby si tento soubor naimportovali do své ''klíčenky'' (keyring) kde mají už naimportovaný klíč který má tento certifikát odvolat.
<div style="background-color:#f0fff0;font-family:monospace;">
{{Linux:user}}[[Linux:gpg|gpg]] --import odvolaci_certifikat.asc
</div>
Totéž platí i pro klíče ve vaší ''klíčence''. Pokud se setkáte s tím, že byl nějaký vámi naimportovaný klíč kompromitován, informujte o této skutečnosti jeho vlastníka, aby mohl někam umístit svůj revokační certifikát.
{{Pozn|Pozor na odvolávací certifikáty. Pokud byste si jej omylem naimportovali a tak si nechtěně odvolali vámi používaný klíč, tak budete muset vygenerovat a publikovat klíč nový.}}
===Vytvoření zdroje (repository)===
| 