Dpkg-sig: Firma dei packages .deb
Per poter firmare i nostri packages necessitiamo di due strumenti: gpg e dpkg-sig.
Il primo dovrebbe essere già installato di default con la nostra Debian, per il secondo:
# apt-get install dpkg-sig
fatto questo generiamo una nuova coppia di chiavi , da usare solo per firmare i packages:
$ gpg --gen-key
- rispondiamo 1 alla prima domanda ovvero DSA e ElGamal, diamo invio
- come dimensione lasciamo pure 1024, diamo invio
- mettiamo 0 come scadenza, diamo invio
- rispondiamo s, diamo invio
- ora ci verrà chiesto Nome e Cognome:
Nome e Cognome: denis pecci
inseriamo i nostri dati e diamo invio
- ora ci viene chiesto l'indirizzo email:
Indirizzo di Email: debian@nextdeb.net
inseriamolo e diamo invio
- ed ora inseriamo il commento per la coppia di chiavi:
Commento: NextDeb Team Packager
diamo invio
- ora premiamo 'o' e invio
- ora ci verrà richiesta la password per le chiavi, inseriamola e invio
Ecco fatto, ora abbiamo la nostra coppia di chiavi per firmare i pacchetti, esportiamole sul nostro keyserver preferito.
Per firmare i nostri packages procediamo in questo modo:
# dpkg-sig --sign nostronick nomepackages.deb
Ecco fatto, ora abbiamo firmato in maniera inequivocabile il nostro pacchetto. Per controllare la firma possiamo usare sia dpkg-sig che gpg. Con gpg basta usare il seguente comando:
# gpg --verify nome package
mentre con dpkg-sig:
# dpkg-sig -v -l nome package
Esempio# dpkg-sig -v -l cwcdr_2.0.1-4_all.deb Processing wcdr_2.0.1-4_all.deb... debian |
come potete vedere quest'ultima maniera mostra solo il nick del firmante del package.
Autore: debian