come si crea un pacchetto deb "firmato"

Voglio creare un numero di pacchetti deb, ma non so come funzionano i pacchetti "firma". Quindi mi chiedevo come creare un pacchetto deb firmato.

La firma del pacchetto su sistemi Ubuntu / Debian è piuttosto disordinata. In teoria, la firma di un pacchetto deb consente alla persona che riceve il pacchetto di verificare che il pacchetto non sia stato modificato dopo averlo firmato. In realtà, la verifica della firma è estremamente difficile da configurare ed è disabilitata per impostazione predefinita. A meno che l'utente non esegua una serie di impostazioni localmente, non verificherà la firma quando il pacchetto è installato.

Per firmare un pacchetto, puoi usare: debsigs o dpkg-sig. Le firme non sono compatibili tra loro, quindi è necessario assicurarsi che l'utente stia utilizzando lo strumento appropriato sul lato ricevente per verificare le firme.

dpkg-sig è più facile da usare sia per te che per l'utente, ma debsigs è lo strumento con supporto integrato (che è disabilitato di default) su Ubuntu e Debian.

Ho scritto un post sul blog contenente tutti i dettagli tecnici della firma e della verifica dei pacchetti sorgente (file .dsc), dei pacchetti binari (.deb) e degli stessi pacchetti di pacchetti APT qui: http://blog.packagecloud.io/eng/2014/ 10/28 / howto-gpg-segno-verify-deb-pacchetti-apt-repository /

La firma del pacchetto su Debian / Ubuntu viene generalmente eseguita tramite file .changes. Quando si crea un pacchetto si tende a finire con un file .changes, che elenca i risultati della compilazione (pacchetti sorgente e / o binari) e i loro checksum, quando si firmano i pacchetti questo è normalmente il file che si firma (permettendo così la verifica del integrità del pacchetto tramite il suo checksum).

Il modo più semplice per firmare un file .changes è usare debsign

debsign hello_1.0_amd64.changes

Questo si verifica automaticamente se hai una chiave primaria nel tuo portachiavi gnupg e corri dpkg-buildpackageo debuildsenza l' opzione -use -uc.