Sto registrando un video sull'installazione di alcuni software da un repository di venditori. A un certo punto, scarica la chiave GPG per il repository remoto e controllo manualmente la sua impronta prima aggiungendo chiave e il nuovo repository all'elenco dei repository attendibili per l'host corrente:
REPO="https://download.docker.com/linux/debian"
# Download and check GPG key
# Expected fingerprint:
# 9DC8 5822 9FC7 DD38 854A E2D8 8D81 803C 0EBF CD88
curl -fsSL "${REPO}/gpg" > docker.debian.gpg
gpg --no-option \
--with-fingerprint --keyid-format LONG \
docker.debian.gpg
E solo se l'impronta digitale corrisponde, continuo il processo:
# Add Docker repository
apt-key add docker.debian.gpg
add-apt-repository \
"deb [arch=amd64] ${REPO} \
$(lsb_release -cs) \
stable"
(il codice sopra è per Debian, ma seguo lo stesso pattern per CentOS / RedHat)
Mi sento come controllare l'impronta digitale chiave è un passo importante per garantire che non installeremo un software da un repository sovvertito. Ma non sono abbastanza sicuro di me stesso: alcuni altri tutorial che ho visto sembrano effettivamente presupporre che la chiave del repository sarà automaticamente controllata in un secondo momento.
Quindi, in tal caso, quale ulteriore livello di sicurezza aggiunge al controllo dell'impronta digitale chiave? Quali sarebbero i rischi di non farlo?