Estoy grabando un video sobre la instalación de algún software de un repositorio de proveedores. En algún momento, descargo la clave GPG para el repositorio remoto y verifico manualmente su huella dactilar antes agregando la clave y el nuevo repositorio a la lista de repositorios de confianza para el host actual:
REPO="https://download.docker.com/linux/debian"
# Download and check GPG key
# Expected fingerprint:
# 9DC8 5822 9FC7 DD38 854A E2D8 8D81 803C 0EBF CD88
curl -fsSL "${REPO}/gpg" > docker.debian.gpg
gpg --no-option \
--with-fingerprint --keyid-format LONG \
docker.debian.gpg
Y solo si la huella digital coincide, continúo el proceso:
# Add Docker repository
apt-key add docker.debian.gpg
add-apt-repository \
"deb [arch=amd64] ${REPO} \
$(lsb_release -cs) \
stable"
(el código anterior es para Debian, pero sigo el mismo patrón para CentOS / RedHat)
I siento como verificar la huella dactilar clave es un paso importante para asegurarnos de que no instalaremos un software desde un repositorio subvertido. Pero no estoy muy seguro de mí mismo: parece que algunos otros tutoriales suponen que la clave del repositorio se verificará automágicamente más adelante.
Entonces, en ese caso, ¿qué nivel adicional de seguridad agrega esa seguridad para verificar la huella digital clave? ¿Cuáles serían los riesgos de no hacer eso?