「DeveloperWiki:パッケージの署名」の版間の差分
ナビゲーションに移動
検索に移動
Kusanaginoturugi (トーク | 投稿記録) (→安全に!: 「ご」を付けた方が一般的と思います。) |
|||
| (2人の利用者による、間の8版が非表示) | |||
| 1行目: | 1行目: | ||
| − | + | __NOTOC__ |
|
| + | [[Category:DeveloperWiki]] |
||
| + | [[en:DeveloperWiki:Signing Packages]] |
||
| + | ==UID を選ぶ== |
||
| + | * 有効なメールアドレスを使い、難読化はしない。 |
||
| + | * メールアドレスは信頼のできるものを使う (ISP や大手以外の無料のサービスから取得したものを使わない)。 |
||
| + | * 信頼できるか疑わしいときは、<code>@archlinux.org</code> アドレスを使うべき。 |
||
| + | * UID はパッケージをビルドするときに使う <code>PACKAGER</code> 変数と同じである必要がある。 |
||
| + | * 正しい UID の形式は、<code>Pierre Schmitz <pierre@archlinux.de></code> |
||
| + | * 本名を使うことを推奨。公式な証明書(パスポート・運転免許証等)と厳密に同じである必要がある。[http://wiki.cacert.org/PracticeOnNames CAcert's practice on names] も参照。 |
||
| + | ==キーペアを作る== |
||
| − | ==Choose a UID== |
||
| + | # <code>gnupg</code> をインストールする。 |
||
| − | * Use a valid e-mail address: no obfuscation. |
||
| + | # <code>gpg --gen-key</code> を実行する。 |
||
| − | * The e-mail address should be reliable (do not use one you got from your ISP or a random free service). |
||
| + | ## デフォルトの、無期限で 2048-bit の 暗号化・署名用の RSA キーを使うことができます。 |
||
| − | * When in doubt, you should prefer using your <code>@archlinux.org</code> address. |
||
| + | # 以下のコマンドで失効証明書を作成する。秘密鍵が安全でなくなったときに使うことができます。 |
||
| − | * The UID also has to be the same as the <code>PACKAGER</code> variable you use to build packages. |
||
| − | + | ## <code>gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de</code> |
|
| + | ## このファイルを安全な場所に確実に保管して (かつパスフレーズで暗号化して)、暗号化していないバージョンを削除します。 |
||
| − | * We strongly advise you use your real name. It has to be exactly that found on official documents (passport, driver's license, etc.); see [http://wiki.cacert.org/PracticeOnNames CAcert's practice on names]. |
||
| + | # 次のコマンドで秘密鍵をバックアップする。<code>gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc</code> |
||
| + | ==推奨: キーを CAcert にサインしてもらう== |
||
| − | ==Create a key pair== |
||
| + | # [https://www.cacert.org/index.php?id=1 CAcert でアカウントを作成する。] |
||
| − | # Install <code>gnupg</code>. |
||
| + | # CAcert の保証人に会って、公的な身分証明書を確認してもらう。[http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy] を参照。 |
||
| − | # Run: <code>gpg --gen-key</code> |
||
| + | # CAcert web サイトの新しい部分にアクセスできるようになるので、キーをサインしてもらう: |
||
| − | ## You may use the default: a never expiring 2048-bit RSA key for encryption and signing. |
||
| + | ## 公開鍵をエクスポートする: <code>gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc</code> |
||
| − | # Create a revocation certificate, for use when/if your private key ever gets compromised: |
||
| + | ## そのファイルの内容を [https://www.cacert.org CAcert web サイト] のフォームに貼り付ける。 |
||
| − | ## Run: <code>gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de</code> |
||
| + | ## CAcert web サイトからサインされたキーを保存してインポートする: <code>gpg --import <filename></code> |
||
| − | ## Make sure to store this file in a secure location (and/or encrypt it with a passphrase); then delete the plaintext version. |
||
| − | # Backup your private key: <code>gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc</code> |
||
| + | ==推奨: キーを他の開発者にサインしてもらう== |
||
| − | ==Recommended: Get your key signed by CAcert== |
||
| + | # 他の開発者と会ったとき、お互いのキーをサインする。 |
||
| − | # [https://www.cacert.org/index.php?id=1 Create an account on CAcert.] |
||
| + | # これは重要です。相手の身分を確認できないときは絶対にキーにサインしないでください。 |
||
| − | # Meet CAcert assurers and have them verify your official identification documents; see [http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy]. |
||
| + | # よいガイドラインは [http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy] を参照。 |
||
| − | # You will then be able to access a new part of the CAcert website and get your key signed: |
||
| − | ## Export your public key: <code>gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc</code> |
||
| − | ## Paste the content of that file into the form on the [https://www.cacert.org CAcert website]. |
||
| − | ## Save the signed key from the CAcert website and import it: <code>gpg --import <filename></code> |
||
| + | ==公開鍵を公開する== |
||
| − | ==Recommended: Get your key signed by other devs== |
||
| + | # 公開鍵をキーサーバーに送信する: |
||
| − | # When ever you meet with another dev, sign each others' keys. |
||
| + | ## キー id を確認する: <code>gpg -k</code> |
||
| − | # Take this seriously: never sign a key when you cannot verify the other person's identity. |
||
| + | ## コマンドを実行: <code>gpg --send-keys KEY-ID</code> |
||
| − | # See [http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy] for good guidelines. |
||
| + | # キーのフィンガープリントを https://www.archlinux.org/devel/profile/ のプロフィールに追加する。 |
||
| + | ==ご安全に!== |
||
| − | ==Publish your public key== |
||
| + | # キーのバックアップを作成して、パスフレーズを忘れないようにしてください。 |
||
| − | # Send your public key to a keyserver: |
||
| − | ## Check your key id with: <code>gpg -k</code> |
||
| − | ## Run: <code>gpg --send-keys KEY-ID</code> |
||
| − | # Add your key fingerprint to your profile at https://www.archlinux.org/devel/profile/ |
||
| − | |||
| − | ==Be safe!== |
||
| − | # Create a backup of your keys and be sure not to forget the passphrase! |
||
2021年6月1日 (火) 16:59時点における最新版
UID を選ぶ
- 有効なメールアドレスを使い、難読化はしない。
- メールアドレスは信頼のできるものを使う (ISP や大手以外の無料のサービスから取得したものを使わない)。
- 信頼できるか疑わしいときは、
@archlinux.orgアドレスを使うべき。 - UID はパッケージをビルドするときに使う
PACKAGER変数と同じである必要がある。 - 正しい UID の形式は、
Pierre Schmitz <pierre@archlinux.de> - 本名を使うことを推奨。公式な証明書(パスポート・運転免許証等)と厳密に同じである必要がある。CAcert's practice on names も参照。
キーペアを作る
gnupgをインストールする。gpg --gen-keyを実行する。- デフォルトの、無期限で 2048-bit の 暗号化・署名用の RSA キーを使うことができます。
- 以下のコマンドで失効証明書を作成する。秘密鍵が安全でなくなったときに使うことができます。
gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de- このファイルを安全な場所に確実に保管して (かつパスフレーズで暗号化して)、暗号化していないバージョンを削除します。
- 次のコマンドで秘密鍵をバックアップする。
gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc
推奨: キーを CAcert にサインしてもらう
- CAcert でアカウントを作成する。
- CAcert の保証人に会って、公的な身分証明書を確認してもらう。CAcert's assurance policy を参照。
- CAcert web サイトの新しい部分にアクセスできるようになるので、キーをサインしてもらう:
- 公開鍵をエクスポートする:
gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc - そのファイルの内容を CAcert web サイト のフォームに貼り付ける。
- CAcert web サイトからサインされたキーを保存してインポートする:
gpg --import <filename>
- 公開鍵をエクスポートする:
推奨: キーを他の開発者にサインしてもらう
- 他の開発者と会ったとき、お互いのキーをサインする。
- これは重要です。相手の身分を確認できないときは絶対にキーにサインしないでください。
- よいガイドラインは CAcert's assurance policy を参照。
公開鍵を公開する
- 公開鍵をキーサーバーに送信する:
- キー id を確認する:
gpg -k - コマンドを実行:
gpg --send-keys KEY-ID
- キー id を確認する:
- キーのフィンガープリントを https://www.archlinux.org/devel/profile/ のプロフィールに追加する。
ご安全に!
- キーのバックアップを作成して、パスフレーズを忘れないようにしてください。