「DeveloperWiki:パッケージの署名」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
 
(→‎安全に!: 「ご」を付けた方が一般的と思います。)
 
(2人の利用者による、間の8版が非表示)
1行目: 1行目:
[[Category:DeveloperWiki]]__NOTOC__
+
__NOTOC__
  +
[[Category:DeveloperWiki]]
  +
[[en:DeveloperWiki:Signing Packages]]
  +
==UID を選ぶ==
  +
* 有効なメールアドレスを使い、難読化はしない。
  +
* メールアドレスは信頼のできるものを使う (ISP や大手以外の無料のサービスから取得したものを使わない)。
  +
* 信頼できるか疑わしいときは、<code>@archlinux.org</code> アドレスを使うべき。
  +
* UID はパッケージをビルドするときに使う <code>PACKAGER</code> 変数と同じである必要がある。
  +
* 正しい UID の形式は、<code>Pierre Schmitz <pierre@archlinux.de></code>
  +
* 本名を使うことを推奨。公式な証明書(パスポート・運転免許証等)と厳密に同じである必要がある。[http://wiki.cacert.org/PracticeOnNames CAcert's practice on names] も参照。
   
  +
==キーペアを作る==
==Choose a UID==
 
  +
# <code>gnupg</code> をインストールする。
* Use a valid e-mail address: no obfuscation.
 
  +
# <code>gpg --gen-key</code> を実行する。
* The e-mail address should be reliable (do not use one you got from your ISP or a random free service).
 
  +
## デフォルトの、無期限で 2048-bit の 暗号化・署名用の RSA キーを使うことができます。
* When in doubt, you should prefer using your <code>@archlinux.org</code> address.
 
  +
# 以下のコマンドで失効証明書を作成する。秘密鍵が安全でなくなったときに使うことができます。
* The UID also has to be the same as the <code>PACKAGER</code> variable you use to build packages.
 
* A correct UID looks like this: <code>Pierre Schmitz <pierre@archlinux.de></code>
+
## <code>gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de</code>
  +
## このファイルを安全な場所に確実に保管して (かつパスフレーズで暗号化して)、暗号化していないバージョンを削除します。
* We strongly advise you use your real name. It has to be exactly that found on official documents (passport, driver's license, etc.); see [http://wiki.cacert.org/PracticeOnNames CAcert's practice on names].
 
  +
# 次のコマンドで秘密鍵をバックアップする。<code>gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc</code>
   
  +
==推奨: キーを CAcert にサインしてもらう==
==Create a key pair==
 
  +
# [https://www.cacert.org/index.php?id=1 CAcert でアカウントを作成する。]
# Install <code>gnupg</code>.
 
  +
# CAcert の保証人に会って、公的な身分証明書を確認してもらう。[http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy] を参照。
# Run: <code>gpg --gen-key</code>
 
  +
# CAcert web サイトの新しい部分にアクセスできるようになるので、キーをサインしてもらう:
## You may use the default: a never expiring 2048-bit RSA key for encryption and signing.
 
  +
## 公開鍵をエクスポートする: <code>gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc</code>
# Create a revocation certificate, for use when/if your private key ever gets compromised:
 
  +
## そのファイルの内容を [https://www.cacert.org CAcert web サイト] のフォームに貼り付ける。
## Run: <code>gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de</code>
 
  +
## CAcert web サイトからサインされたキーを保存してインポートする: <code>gpg --import <filename></code>
## Make sure to store this file in a secure location (and/or encrypt it with a passphrase); then delete the plaintext version.
 
# Backup your private key: <code>gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc</code>
 
   
  +
==推奨: キーを他の開発者にサインしてもらう==
==Recommended: Get your key signed by CAcert==
 
  +
# 他の開発者と会ったとき、お互いのキーをサインする。
# [https://www.cacert.org/index.php?id=1 Create an account on CAcert.]
 
  +
# これは重要です。相手の身分を確認できないときは絶対にキーにサインしないでください。
# Meet CAcert assurers and have them verify your official identification documents; see [http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy].
 
  +
# よいガイドラインは [http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy] を参照。
# You will then be able to access a new part of the CAcert website and get your key signed:
 
## Export your public key: <code>gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc</code>
 
## Paste the content of that file into the form on the [https://www.cacert.org CAcert website].
 
## Save the signed key from the CAcert website and import it: <code>gpg --import <filename></code>
 
   
  +
==公開鍵を公開する==
==Recommended: Get your key signed by other devs==
 
  +
# 公開鍵をキーサーバーに送信する:
# When ever you meet with another dev, sign each others' keys.
 
  +
## キー id を確認する: <code>gpg -k</code>
# Take this seriously: never sign a key when you cannot verify the other person's identity.
 
  +
## コマンドを実行: <code>gpg --send-keys KEY-ID</code>
# See [http://www.cacert.org/policy/AssurancePolicy.php CAcert's assurance policy] for good guidelines.
 
  +
# キーのフィンガープリントを https://www.archlinux.org/devel/profile/ のプロフィールに追加する。
   
  +
==ご安全に!==
==Publish your public key==
 
  +
# キーのバックアップを作成して、パスフレーズを忘れないようにしてください。
# Send your public key to a keyserver:
 
## Check your key id with: <code>gpg -k</code>
 
## Run: <code>gpg --send-keys KEY-ID</code>
 
# Add your key fingerprint to your profile at https://www.archlinux.org/devel/profile/
 
 
==Be safe!==
 
# Create a backup of your keys and be sure not to forget the passphrase!
 

2021年6月1日 (火) 16:59時点における最新版

UID を選ぶ

  • 有効なメールアドレスを使い、難読化はしない。
  • メールアドレスは信頼のできるものを使う (ISP や大手以外の無料のサービスから取得したものを使わない)。
  • 信頼できるか疑わしいときは、@archlinux.org アドレスを使うべき。
  • UID はパッケージをビルドするときに使う PACKAGER 変数と同じである必要がある。
  • 正しい UID の形式は、Pierre Schmitz <pierre@archlinux.de>
  • 本名を使うことを推奨。公式な証明書(パスポート・運転免許証等)と厳密に同じである必要がある。CAcert's practice on names も参照。

キーペアを作る

  1. gnupg をインストールする。
  2. gpg --gen-key を実行する。
    1. デフォルトの、無期限で 2048-bit の 暗号化・署名用の RSA キーを使うことができます。
  3. 以下のコマンドで失効証明書を作成する。秘密鍵が安全でなくなったときに使うことができます。
    1. gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de
    2. このファイルを安全な場所に確実に保管して (かつパスフレーズで暗号化して)、暗号化していないバージョンを削除します。
  4. 次のコマンドで秘密鍵をバックアップする。gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc

推奨: キーを CAcert にサインしてもらう

  1. CAcert でアカウントを作成する。
  2. CAcert の保証人に会って、公的な身分証明書を確認してもらう。CAcert's assurance policy を参照。
  3. CAcert web サイトの新しい部分にアクセスできるようになるので、キーをサインしてもらう:
    1. 公開鍵をエクスポートする: gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc
    2. そのファイルの内容を CAcert web サイト のフォームに貼り付ける。
    3. CAcert web サイトからサインされたキーを保存してインポートする: gpg --import <filename>

推奨: キーを他の開発者にサインしてもらう

  1. 他の開発者と会ったとき、お互いのキーをサインする。
  2. これは重要です。相手の身分を確認できないときは絶対にキーにサインしないでください。
  3. よいガイドラインは CAcert's assurance policy を参照。

公開鍵を公開する

  1. 公開鍵をキーサーバーに送信する:
    1. キー id を確認する: gpg -k
    2. コマンドを実行: gpg --send-keys KEY-ID
  2. キーのフィンガープリントを https://www.archlinux.org/devel/profile/ のプロフィールに追加する。

ご安全に!

  1. キーのバックアップを作成して、パスフレーズを忘れないようにしてください。