「DeveloperWiki:パッケージの署名」の版間の差分
ナビゲーションに移動
検索に移動
(→UID を選ぶ: 訳出) |
(→キーペアを作る: 訳出) |
||
| 12行目: | 12行目: | ||
==キーペアを作る== |
==キーペアを作る== |
||
| − | # |
+ | # <code>gnupg</code> をインストールする。 |
| − | # |
+ | # <code>gpg --gen-key</code> を実行する。 |
| + | ## デフォルトの、無期限で 2048-bit の 暗号化・署名用の RSA キーを使うことができます。 |
||
| − | ## You may use the default: a never expiring 2048-bit RSA key for encryption and signing. |
||
| + | # 以下のコマンドで失効証明書を作成する。秘密鍵が安全でなくなったときに使うことができます。 |
||
| − | # Create a revocation certificate, for use when/if your private key ever gets compromised: |
||
| − | ## |
+ | ## <code>gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de</code> |
| + | ## このファイルを安全な場所に確実に保管して (かつパスフレーズで暗号化して)、暗号化していないバージョンを削除します。 |
||
| − | ## Make sure to store this file in a secure location (and/or encrypt it with a passphrase); then delete the plaintext version. |
||
| − | # |
+ | # 次のコマンドで秘密鍵をバックアップする。<code>gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc</code> |
==推奨: キーを CAcert にサインしてもらう== |
==推奨: キーを CAcert にサインしてもらう== |
||
2020年5月22日 (金) 13:35時点における版
UID を選ぶ
- 有効なメールアドレスを使い、難読化はしない。
- メールアドレスは信頼のできるものを使う (ISP や大手以外の無料のサービスから取得したものを使わない)。
- 信頼できるか疑わしいときは、
@archlinux.orgアドレスを使うべき。 - UID はパッケージをビルドするときに使う
PACKAGER変数と同じである必要がある。 - 正しい UID の形式は、
Pierre Schmitz <pierre@archlinux.de> - 本名を使うことを推奨。公式な証明書(パスポート・運転免許証等)と厳密に同じである必要がある。CAcert's practice on names も参照。
キーペアを作る
gnupgをインストールする。gpg --gen-keyを実行する。- デフォルトの、無期限で 2048-bit の 暗号化・署名用の RSA キーを使うことができます。
- 以下のコマンドで失効証明書を作成する。秘密鍵が安全でなくなったときに使うことができます。
gpg -o ~/.gnupg/pierre@archlinux.de-revoke.asc --gen-revoke pierre@archlinux.de- このファイルを安全な場所に確実に保管して (かつパスフレーズで暗号化して)、暗号化していないバージョンを削除します。
- 次のコマンドで秘密鍵をバックアップする。
gpg --export-secret-keys pierre@archlinux.de > pierre@archlinux.de-private.asc
推奨: キーを CAcert にサインしてもらう
- Create an account on CAcert.
- Meet CAcert assurers and have them verify your official identification documents; see CAcert's assurance policy.
- You will then be able to access a new part of the CAcert website and get your key signed:
- Export your public key:
gpg --export --armor pierre@archlinux.de > pierre@archlinux.de.asc - Paste the content of that file into the form on the CAcert website.
- Save the signed key from the CAcert website and import it:
gpg --import <filename>
- Export your public key:
推奨: キーを他の開発者にサインしてもらう
- When ever you meet with another dev, sign each others' keys.
- Take this seriously: never sign a key when you cannot verify the other person's identity.
- See CAcert's assurance policy for good guidelines.
公開鍵を公開する
- Send your public key to a keyserver:
- Check your key id with:
gpg -k - Run:
gpg --send-keys KEY-ID
- Check your key id with:
- Add your key fingerprint to your profile at https://www.archlinux.org/devel/profile/
安全に!
- Create a backup of your keys and be sure not to forget the passphrase!