Trusted.gpg.d vs keyrings

Zargos · Mai 23, 2025, 7:26am

Il y a une question que je me pose depuis un moment concernant les clefs des dépôts apt. Il y a deux possibilité de les stocker, et je ne vois pas laquelle est la meilleure façon:

/etc/apt/trusted.gpg.d
/usr/share/keyrings

Personnellement j’utilise principalement le deuxième répertoire.
De lectures sur le net, il s’avère qu’apt considère automatiquement comme valide toute clef dans /etc/apt/trusted.gpg.key.
De facto il ne faudrait pas y mettre debian-archive-removed-keys.gpg.

J’ai du mal à trouver les règle de gestion de l’un ou de l’autre. On trouve beaucoup de chose sur la suppression de apt-key, mais ça date de 2023.

Il semble que /etc/apt/trusted.gpg.d est dépréciée, mais visiblement, Debian l’utilise toujours alors que les fournisseurs 3rd party utilisent /.usr/share/keyrings

doom · Mai 23, 2025, 10:36pm

Salut Zargo, j’ai consulté l ‘IA et la conclusion

• Si vous gérez des dépôts tiers et que vous souhaitez une méthode simple, /etc/apt/trusted.gpg.d est suffisant. 
• Si vous avez besoin d'une gestion plus fine des clés, surtout pour des dépôts spécifiques, alors /usr/share/keyrings est la meilleure option. 
  
  En résumé, le choix dépend de vos besoins spécifiques en matière de gestion des clés.

Dans mon cas j’utilise les deux, le premier pour les dépôts extérieur et le deuxième pour les dépôts officiel Debian

Zargos · Mai 24, 2025, 9:06am

merci.
je vais continuer de n’utiliser que /usr/share/keyrings come je le fait déjà.

Verner · Mai 24, 2025, 2:10pm

Pour que l’IA fournisse des réponses moins vaseuses, il faudrait l’entrainer par quelques questions:

Si vous gérez des dépôts tiers et que vous souhaitez une méthode simple

Que signifie "simple’ ou ‹ compliqué › ? avec exemples.

Si vous avez besoin d’une gestion plus fine des clés, surtout pour des dépôts spécifiques, alors /usr/share/keyrings est la meilleure option.

Gestion ‹ plus fine › des clés ?? surtout pour des dépôts ‹ spécifiques › ??? Mais zencore…

Plus pragmatiquement…
Le paquet debian-archive-keyring crée deux répertoires:
1- /etc/apt/trusted.gpg.d/ , pour ses fichiers asc
2- /usr/share/keyrings/, pour ses fichiers gpg qui sont en fait des fichiers pgp (OpenPGP format).

Donc, on n’y touche pas. But…

Since APT 2.4, /etc/apt/keyrings is provided as the recommended location for keys not managed by packages.

Exemple: Debian APT Repository - khumba.net, qui fournit lxqt 2.2

Types: deb
URIs: https://apt.khumba.net/
Suites: kh-bookworm-extras
Components: main contrib non-free
Architectures: amd64
Signed-By: /etc/apt/keyrings/khumba.asc

Allez fouiller dans de vieilles documentations non maintenues conduira à une erreur d’appréciation.
Apt évolue, depuis l’introduction du format DEB822 des fichiers sources.
apt-key est supprimé d’apt 3 (Debian 13).

A partir du moment où le fichier source apt d’un site tiers indique l’emplacement absolu du fichier clef, le choix du répertoire utilisé est d’ordre secondaire, mais
/etc/apt/keyrings doit être utilisé préférentiellement.

Zargos · Mai 24, 2025, 3:38pm

Ca c’est pour les paquets, ok.
Mais coté dépôts, la 12.11 qui est arrivée en avril, les clef debian sont dans /usr/share/keyrings.
apt-key est deprecated depuis près de deux ans.

Verner · Mai 24, 2025, 3:50pm

Il n’y a strictement aucune raison de tripatouiller les clefs des dépôts officiels Debian, gérés par le paquet debian-archive-keyring comme indiqué précédemment. Debian sait où placer ses propres clefs.
Bookworm n’y changera évidemment rien quelque-soit sa mise à jour (12.{x,y,z})
apt-key est déprécié depuis 2 ans, mais est toujours accessible dans bookworm (apt 2.6), et supprimé d’apt 3 (Debian 13).

Zargos · Mai 24, 2025, 4:07pm

A aucun moment je n’ai parlé de tripatouiller quoi que ce soit.

grandtoubab · Mai 28, 2025, 6:53am

Salut
Pour Debian 13 Trixie

    apt policy apt
    apt:
      Installé : 3.0.1
      Candidat : 3.0.1
     Table de version :
     *** 3.0.1 500
            500 https://cdn-aws.deb.debian.org/debian trixie/main amd64 Packages
            100 /var/lib/dpkg/status
         2.6.1 500
            500 https://cdn-aws.deb.debian.org/debian stable/main amd64 Packages

il existe la commande apt modernize-sources qui utilise /usr/share/keyrings

# Modernized from /etc/apt/sources.list
Types: deb
URIs: https://cdn-aws.deb.debian.org/debian/
Suites: trixie
Components: main  contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

une description pas forcément officielle ici Debian deb822 documantation.md · GitHub

Avoids the risks of globally trusted keys in /etc/apt/trusted.gpg

c’est un peu succin comme justification, pouquoi /usr/share serait-il plus sécurisé que /etc/apt?