Dpkg-sig: Firma dei packages .deb

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca

Per poter firmare i nostri package necessitiamo di sue strumenti per poter firmare i nostri package necessitiamo di due strumenti gpg e dpkg-sig.

Il primo dovrebbe essere già installato di default con la nostra debian, per il secondo:

# apt-get install dpkg-sig

fatto questo generiamo una nuova coppia di chiavi , da usare solo per firmare i packages:

$ gpg --gen-key
  • rispondiamo 1 alla prima domanda ovvero DSA e ElGamal, diamo invio
  • come dimensione lasciamo pure 1024, diamo invio
  • mettiamo 0 come scadenza, diamo invio
  • rispondiamo s, diamo invio
  • ora ci verrà chiesto Nome e Cognome:
Nome e Cognome: denis pecci

inseriamo i nostri dati e diamo invio

  • ora ci viene chiesto l'indirizzo email:
Indirizzo di Email: debian@nextdeb.net

inseriamolo e diamo invio

  • ed ora inseriamno il commento per la coppia di chiavi:
Commento: NextDeb Team Packager

diamo invio

  • ora premiamo 'o' e invio
  • ora ci verrà richiesta la password per le chiavi, inseriamola e invio

Ecco fatto, ora abbiamo la nostra coppia di chiavi per firmare i pacchetti, esportiamole sul nostro keyserver preferito.

Per firmare i nostri packages procediamo in questo modo:

# dpkg-sig --sign nostronick nomepackages.deb
Info.png Esempio
# dpkg-sig --sign debian cwcdr_2.0.1-4_all.deb
Processing cwcdr_2.0.1-4_all.deb...

Ti serve una passphrase per sbloccare la chiave segreta
dell'utente: "denis pecci (NextDeb Team Packager) <debian@nextdeb.net>"
chiave DSA di 1024 bit, ID 73E02514, creata il 2004-11-26

Signed deb cwcdr_2.0.1-4_all.deb


Ecco fatto, ora abbiamo firmato in maniera inequivocabile il nostro pacchetto. Per controllare la firma possiamo usare sia dpkg-sig che gpg. Con gpg basta usare il seguente comando:

# gpg --verify nome package
Info.png Esempio
# gpg --verify cwcdr_2.0.1-4_all.deb 
gpg: Firma fatta ven 26 nov 2004 11:23:33 CET usando DSA con ID 73E02514
gpg: Firma valida da "denis pecci (NextDeb Team Packager) <debian@nextdeb.net>"
gpg: controllo il trustdb
gpg: controllo al livello 0 firmato=0 ot(-/q/n/m/f/u)=0/0/0/0/0/2


mentre con dpkg-sig:

# dpkg-sig -v -l nome package
Info.png Esempio
# dpkg-sig -v -l cwcdr_2.0.1-4_all.deb 
Processing wcdr_2.0.1-4_all.deb... 
debian


come potete vedere quest'ultima maniera mostra solo il nick del firmante del package.



Autore: debian