[devel] I: rpm-uscan now supports cryptographic signature verification

Igor Vlasenko vlasenko на imath.kiev.ua
Пт Июн 6 23:56:34 MSK 2014


Господа,
поскольку в Сизифе уже сформировалась критическая масса пакетов с watch
файлами, хочу уже дожать всю связанную с ними разработку, включая 
и востребованный плагин к watch.altlinux.org.
думаю, не более чем за неделю справлюсь. 

В частности, портирована из debian поддержка проверки подписанных исходников.

В сегодняшнем релизе rpm-uscan-0.8.2.13.3-alt1.src.rpm
уже есть предварительная реализация. 

Чтобы после скачивания проходила проверка подписи новой версии исходников,
надо добавить в пакет 
SourceXX: upstream-signing-key.pgp или 
SourceXX: upstream-signing-key.asc.
в gear репозитории файл может быть в корне, в .gear/, и в debian/.
в watch файл нужно добавить опцию pgpsigurlmangle,
как описано на debian wiki:

https://wiki.debian.org/debian/watch#pgpsigurlmangle

Cryptographic signature verification
If your upstream provides cryptographic signatures for their packages in the same place that the packages are available for download, and you know what OpenPGP key or keys will be used to sign these packages, uscan can verify these signatures for you if you give it the pgpsigurlmangle option.

For example, for OpenSSH (which uses a .asc suffix for the package signatures), you'd place Damien Miller's public key ascii-armored in debian/upstream/signing-key.asc:

gpg --armor --export '59C2 118E D206 D927 E667  EBE3 D3E5 F56B 6D92 0D30' >> debian/upstream/signing-key.asc

and then update debian/watch to say:

version=3
opts=pgpsigurlmangle=s/$/.asc/ ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-(.+)\.tar\.gz 

This lets you ensure that the package was not tampered with in transit, and that it came from the developer you expected it to come from. A valid signature does not mean that the contents of the package are somehow magically perfect and DFSG-free and policy compliant, of course! 


-- 

I. V.



Подробная информация о списке рассылки Devel