Dpkg-sig: Firma dei packages .deb

Da Guide@Debianizzati.Org.
Versione del 14 mag 2005 alle 08:12 di TheNoise (discussione | contributi) (primo inserimento)
(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)
Vai alla navigazione Vai alla ricerca

Per poter firmare i nostri package necessitiamo di sue strumenti per poter firmare i nostri package necessitiamo di due strumenti gpg e dpkg-sig.

Il primo dovrebbe essere già installato di defaul primo dovrebbe essere già installato di default con la nostra debian , per il secondo: 

# apt-get install dpkg-sig

fatto questo generiamo una nuova coppia di chiavi , da usare solo per firmare i packages 

$gpg --gen-key

rispondiamo 1 alla prima domanda ovvero DSA e ElGamal

diamo invio

come dimensione lasciamo pure 1024

diamo invio

mettiamo 0 come scadenza

diamo invio

rispondiamo s

diamo invio

ora ci verrà chiesto Nome e Cognome 

Nome e Cognome: denis pecci

inseriamo i nostri dati e diamo invio

ora ci viene chiesto l'indirizzo email 

Indirizzo di Email: debian@nextdeb.net

inseriamolo e diamo invio

ed ora inseriamno il commento per la coppia di chiavi 

Commento: NextDeb Team Packager

diamo invio

ed ora premiamo o e invio

ora ci verrà richiesta la password per le chiavi , inseriamola e invio

ecco fatto ora abbiamo la nostra coppia di chiavi per firmare i packages

esportiamole sul nostro keyserver preferito.

per firmare i nostri packages procediamo in questo modo 

# dpkg-sig --sign nostronick nomepackages.deb
Esempio

root@nextdeb:/home/nextdeb/uploaded/cwcdr# dpkg-sig --sign debian cwcdr_2.0.1-4_all.deb Processing cwcdr_2.0.1-4_all.deb...

Ti serve una passphrase per sbloccare la chiave segreta dell'utente: "denis pecci (NextDeb Team Packager) <debian@nextdeb.net>" chiave DSA di 1024 bit, ID 73E02514, creata il 2004-11-26

Signed deb cwcdr_2.0.1-4_all.deb

Ecco fatto ora abbiamo firmato in maniera inecquivocabile il nostro packages per controllare la firma abbiamo due metodi o usando dpkg-sig oppure pgp vediamoli entrambi 

# gpg --verify nome package
Esempio

root@nextdeb:/home/nextdeb/uploaded/cwcdr# gpg --verify cwcdr_2.0.1-4_all.deb gpg: Firma fatta ven 26 nov 2004 11:23:33 CET usando DSA con ID 73E02514 gpg: Firma valida da "denis pecci (NextDeb Team Packager) <debian@nextdeb.net>" gpg: controllo il trustdb gpg: controllo al livello 0 firmato=0 ot(-/q/n/m/f/u)=0/0/0/0/0/2

mentre con dpkg-sig 

# dpkg-sig -v -l nome package
Esempio

root@nextdeb:/home/nextdeb/uploaded/cwcdr# dpkg-sig -v -l cwcdr_2.0.1-4_all.deb Processing wcdr_2.0.1-4_all.deb... debian

come potete vedere quest'ultima maniera mostra solo il nick del firmante del package.

per dubbi chiarimenti insulti ecc ecc sono quì

ne il sottoscritto ne debianizzati.org si assumono responsabilità sull uso che farete di questa guida


Autore: debian

Estratto da "https://guide.debianizzati.org/index.php?title=Dpkg-sig:_Firma_dei_packages_.deb&oldid=5483"