Utilisation de GnuPG et debsign

Toujours repris de la documentation de Debian-facile.

Quand on commence a faire ses propres paquets, on sent très vite le besoin de signer ses paquets pour plus de sécurité.

Introduction

  • Créer une paire de clés GPG dédiés à vos contribution Debian
  • Configurer Debsign pour qu’il utilise cette clé par défaut

Générer une paire de clés GPG

Utilisés pour signer (ou chiffrer) les courriels et les paquets Debian.

Installation

apt-get install gnupg

Génération

Génération de la clé privée GPG

gpg --gen-key

Génération du certificat de révocation

Remplacer XXXXXXXX par l’ID de la clé :

gpg --output revoke.asc --gen-revoke XXXXXXXX

Génération de la clé publique

gpg --output ~/votre-login.gpg --export votre@adresse-email.org

Génération de la clé publique version ASCII

gpg --armor --export votre@adresse-email.org

GPG Agent

Pour ne pas avoir à retaper la passphrase à chaque signature, on peut utiliser gpg-agent, qui fonctionne de la même manière que ssh-agent. Pour ce faire, il faut rajouter au fichier ~/.gnupg/gpg.conf le code suivant:

~/.gnupg/gpg.conf
use-agent

Signer un paquet avec debsign

Installation

apt-get install devscripts

Configuration

Dans son dossier personnel, ajouter au fichier ~/.devscripts (à créer s’il n’existe pas) la ligne suivante :

DEBSIGN_KEYID=0xXXXXXXXX

En remplaçant 0xXXXXXXXX par l’id de votre clé GPG.

Utilisation

debsign nom-du-paquet_version-revision_arch.changes

3 réponses sur “Utilisation de GnuPG et debsign”

  1. Vu le niveau de sécurité qu’il faut pour que les paquets soient sécurisés, j’ai un doute sur l’utilité de mettre à la portée du premier noob venu le moyen de distribuer des paquets…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *