Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Absicherung von OpenPGP und Debian-Paketen mit Code Signing

Entwicklergemeinschaft

In der software Lieferkette hilft das Signieren und Verifizieren von Code, bösartigen Code von Ihrer Umgebung fernzuhalten. Ab SignServer Community Release 5.11 können Sie Debian-Pakete digital signieren.

Falls Sie mit Code Signing nicht vertraut sind, handelt es sich dabei um den Prozess des digitalen Signierens von Code, ausführbaren Dateien, Skripten und software Update-Paketen, um den Urheber des Codes zu bestätigen und überprüfen zu können, dass der Code nicht manipuliert oder unbeabsichtigt beschädigt wurde, seit er signiert wurde.

SignServer ist ein serverseitiges Code Signing software , das mehrere Code Signing-Formate unterstützt. In der SignServer Community Edition können Sie z. B. Open PGP- und Debian-Pakete signieren.

Über OpenPGP-Signierung

OpenPGP wird häufig für Open-Source software Projekte und die Paketierung von software für Linux-Umgebungen verwendet. Der SignServer OpenPGP-Signierer kann beliebige Daten signieren und eine von OpenPGP (RFC 4880) losgelöste Signatur in binärer oder ASCII-Form oder eine Klartext-Signatur erzeugen.

Über das Signieren von Debian-Paketen

Debian ist ein beliebtes und frei verfügbares Betriebssystem. Eine Vielzahl von Organisationen verwendet das Debian-Betriebssystem, und das System ist auch dafür bekannt, ein effektives Paketsystem zu sein. SignServer unterstützt das Signieren von Debian-Paketen unter Verwendung des dpkg-sig-Formats und OpenPGP. Die Operationen zur Schlüsselverwaltung sind die gleichen wie die des generischen OpenPGP-Signierers in SignServer.

Der Debian dpkg-sig Signer, der bisher ausschließlich für Benutzer der SignServer Enterprise Edition verfügbar war, ist nun auch in SignServer Community 5.11 verfügbar. Lesen Sie mehr in den Veröffentlichungshinweisen.

Wie man es einrichtet in SignServer

Die Konfiguration Ihres Debian-Paket-Signierers oder OpenPGP-Signierers in SignServer ist einfach. Ihre Anwendungen können auf den Debian- oder OpenPGP-Signierer über eine Integration direkt in die Web-Services-Weboberfläche oder über den SignServer SignClient zugreifen. Die Signierfunktionalität steht auch den Benutzern über ein Webinterface zur Verfügung. Benutzer und Anwendungen sind immer authentifiziert, und alle Protokolldateien sind signiert, um eine ordnungsgemäße Audit- und Protokollierungsfunktionalität zu gewährleisten.

Weder die Debian-Paket-Signierung noch das OpenPGP-Signierungsformat verwenden X.509-Zertifikate. In SignServer werden die Debian- und OpenPGP-Signiervorgänge jedoch wie jeder andere Code-Signiervorgang behandelt. Ein Hardware Sicherheitsmodul (HSM) wird empfohlen, um den privaten Schlüssel zu speichern und den Signiervorgang auszuführen.

Erste Schritte mit OpenPGP oder Debian-Paket-Signierung

Möchten Sie versuchen, Ihre OpenPGP- oder Debian-Pakete mit SignServer zu signieren? Hier erfahren Sie, wie Sie anfangen können:

  1. Bereitstellen von SignServer Community, siehe Schnellstartanleitung - SignServer Container starten.
  2. Konfigurieren Sie die OpenPGP- oder Debian-Signierung, siehe Code Signing Technical How-to.