[ubuntu-it] R: RISOLTO : Problema con Gestore aggiornamenti

Mattia Rizzolo mapreri a gmail.com
Lun 5 Nov 2012 20:35:14 UTC 

Il 05/11/2012 20:35, Domenico Tarricone ha scritto:
> Il 04/11/2012 19:28, Mattia Rizzolo ha scritto:
>> Non per essere cattivo o petulante, ma prova la mia soluzione. riattiva
>> quello che hai disattivato, quindi:
>>
>> $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv
>> 6AF0E1940624A220
>>
>> e riprova.
>>
>>
>>
> Dubbio e domanda:

Per rispondere alle tue domande è necessaria una premessa:
Tutti i repository per sistemi gnu/linux importanti (non solo debian,
quindi ubuntu) forniscono pacchetti binari firmati digitalmente
attraverso gpg. Anche i pacchetti sorgenti più importanti (linux, tutto
il corpo gnu, xorg, e moltissimi alti) sono firmati (anche se con una
file di firma separato, in questo caso).
Questo permette di capire se una persona ti sta distribuendo un
pacchetto modificato e potenzialmente pericoloso.

Ora devi sapere che il processo di firma gpg è basato su una coppia di
chiavi pubbliche e private, e quelle private, per ovvi motivi sono
segrete, e solo il proprietario ci ha accesso.
Per effettuare la firma è necessaria solo quella privata, mentre per
verificarla è necessaria solo quella pubblica.

La chiave pubblica è una stringa molto lunga, come questa
http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xB0B342BCB530D76B
(che è la mia, trovi il link sempre sotto in firma, e anche la allego,
la mia chiave pubblica...).
Nei sistemi debian esiste un pacchetto (debian-keyring) che contiene le
chiavi usate nei repository ufficiali debian (lo cito perchè con degli
hack è possibile usare i repo debian in ubuntu), e l'equivalente avviene
per ubuntu e i suoi repository.

Inoltre i gestori di pacchetti di queste distribuzioni che firmano i
pacchetti di default installano solo pacchetti firmati (ovviamente è un
comportamento modificabile, ma è sconsigliato)


Ora inverto le domande, per tenere un filo logico ;P

> 2) domanda : queste chiavi, qualora necessarie,  dove si trovano /
> scaricano ?

Ubuntu ha introdotto una novità: quella dei ppa, che consentono a
chiunque di avere un repository personale (che è la traduzione di ppa:
personal package archive).
I pacchetti di questi repository necessitano di essere firmati per
essere usati, infatti alla creazione di un ppa viene generata una coppia
di chiavi (In cui nemmeno il proprietario ha accesso a quella privata,
tra l'altro), usate per firmare i pacchetti.
Come ho scritto qualche email fa, add-apt-repository si occupa, tra le
altre cose, di scaricare la chiave pubblica usata per quel repository in
completa autonomia, predendo le informazioni necessarie da launchpad, e
poi usando apt-key per aggiungerla al portachiavi di apt.

In altri casi (come l'inserimento manuale di voci di repository esterni
in /etc/apt/sources.list oppure uno dei file in
/etc/apt/sources.list.d/) la chiave va importata manualmente via apt-key.

L'informazione necessaria per i ppa la trovi sulla pagina di launchpad
apposita (come questa di un mio ppa
https://launchpad.net/~mapreri/+archive/ubuntu-it-community-accomplishments
(NON USARLO!!)) sotto la voce che compare cliccando su "Techinical
details about this PPA" (in verde poco sopra la lista dei pacchetti).
C'è una voce "Fingerprint", che corrisponde all'impronta della chiave.
Nel mio caso è 5D76B3C6A5D8CFBFDF6DFC2D035AC6DD3322973A, che è
riconducibile a questa chiave:
http://keyserver.ubuntu.com:11371/pks/lookup?search=0x5D76B3C6A5D8CFBFDF6DFC2D035AC6DD3322973A&op=vindex&fingerprint=on

apt-key altro non è che un front-end per gpg, che ha parecchie opzioni.
Anche se non so usare quelle di apt-key (so solo che "adv" serve per
specificare direttamente quelle di gpg), conosco quelle di gpg, e questo
ha un'opzione --recv che consente di specificare l'improta della chiave,
oppure la sua (boh, non mi ricordo come si chiama.. :P) "forma breve",
che consiste in un 0x<ultimi 8 caratteri dell'impronta>, nel caso del
mio ppa è 0x3322973A.

> 
> 1) dubbio : ma questa chiave alfanumerica che mi hai dato ( già in una
> tua precedente ) si riferisce a Medibuntu o a Ubuntu Tweak ?  Se è
> quella di Ubuntu Tweak, a me servirebbe ( se serve ) quella di Medibuntu.

Non credo ti serva quella di medibuntu, ogni sito riporta le istruzioni
complete di scaricamento della chiave. piuttosto io quel numero (perchè
alla fine la chiave è un lungo numero esadecimale, quindi usa 16
caratteri, comprese 6 lettere) l'ho ricavato dall'errore di apt-get
update che mi hai postato:

> W: Errore GPG: http://ppa.launchpad.net precise Release: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 6AF0E1940624A220 

Come vedi questo errore riporta anche il server (purtroppo non tutto il
percorso, quindi non è immediato risalire al preciso ppa, però puoi
vedere da qui (quella stringa è una versione un po' più lunga della
versione ridotta dell'impronta, al posto di usare 8 cifre, ne usa 16)
http://keyserver.ubuntu.com:11371/pks/lookup?search=0x6AF0E1940624A220&op=vindex&fingerprint=on
che è "Launchpad PPA for TualatriX", e tualatrix è il nick dello
sviluppatore di ubuntu-tweak.

> 
> Grazie.
> 

Spero di non aver passato quasi mezz'ora a scrivere per niente :)
Però magari puoi vedere di approfondire un po' come funziona il tutto,
ho fatto parecchie sintesi :)

-- 
bye,
                                                Mattia Rizzolo

GPG key: 0xb530d76b    http://goo.gl/AEW5U
Launchpad User:    https://launchpad.net/~mapreri
Ubuntu Wiki page:   https://wiki.ubuntu.com/MattiaRizzolo
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        0xB530D76B.asc
Tipo:        application/pgp-keys
Dimensione:  7914 bytes
Descrizione: non disponibile
URL:         <https://lists.ubuntu.com/archives/ubuntu-it/attachments/20121105/8e569f77/attachment-0001.key>

Maggiori informazioni sulla lista ubuntu-it