코딩일지(2024-07-31)

keyring에 들어갔더니 gpg들이 있었다.

이건 대체 뭘까?

GPG란?

리눅스 파일시스템을 들여다보면, /usr/share/keyrings 안에 GPG키를 저장하는 곳이 있다. 이는 리눅스 시스템에서 패키지 관리자가 패키지의 무결성과 출처를 검증하기 위해 사용되며, 좀더 엄밀히 말하자면, 키뭉치에 해당한다고 볼 수 있다.

주요 용도는 다음과 같다.

1.패키지 서명(Signature) 검증(Authentication)

• 패키지 관리자는 패키지를 배포할 때 해당 패키지를 GPG 키로 서명합니다..
• 사용자의 시스템에서 패키지를 설치할 때, 패키지 관리자는 /usr/share/keyrings에 저장된 공개 키를 사용하여 서명을 검증합니다.
• 서명이 유효하면 패키지가 신뢰할 수 있는 출처에서 온 것임을 확인하고 설치를 진행합니다.

2.소프트웨어 저장소 인증

• 시스템에 새로운 소프트웨어 저장소를 추가할 때, 해당 저장소의 GPG 키를 /usr/share/keyrings 디렉토리에 추가할 수 있습니다.
• 이는 저장소에서 제공하는 패키지들이 신뢰할 수 있는지 확인하는 데 사용됩니다.

즉, 한줄로 요약하자면,

해당 디렉토리에서 주로 사용하는 키들에 대해서 알아보자!

GPG키 예시

1. ubuntu-archive-keyring.gpg

우분투 저장소에서 제공하는 패키지의 서명을 검증한다.

2. ros-archive-keyring.gpg

ROS패키지들이 배포될 때, ROS패키지 관리자가 이러한 패키지들을 GPG공개키로 서명하는데, 이때 서명의 유효성 검증을 거쳐 서명이 유효하다고 판단하면 신뢰할수있는 출처에서 온 것임을 알 수 있다.

만약 키파일의 내용이 궁금하다면 다음 명령어를 통해 확인해볼수도 있다.

gpg --show-keys /usr/share/keyrings/ros-archive-keyring.gpg