Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Seguridad de OpenPGP y paquetes Debian con firma de código

Comunidad de desarrolladores

En la cadena de suministro software , firmar y verificar el código ayuda a mantener el código malicioso fuera de su entorno. A partir de SignServer Community release 5.11, puede firmar digitalmente los paquetes de Debian.

Si no está familiarizado con la firma de código, se trata del proceso de firmar digitalmente código, ejecutables, scripts y paquetes de actualización de software para confirmar el creador del código y poder validar que el código no ha sido manipulado o corrompido involuntariamente desde que se firmó.

SignServer es un servidor de firma de código software que admite múltiples formatos de firma de código. En la edición comunitaria de SignServer , puede firmar paquetes Open PGP y Debian, por ejemplo.

Acerca de la firma OpenPGP

OpenPGP se utiliza habitualmente para proyectos Open-Source software y empaquetado software para entornos Linux. El firmante de OpenPGP SignServer puede firmar datos arbitrarios y producir una firma separada de OpenPGP (RFC 4880) en formato binario o ASCII o una firma en texto claro.

Acerca de la firma de paquetes de Debian

Debian es un sistema operativo popular y de libre acceso. Una amplia gama de organizaciones utilizan el sistema operativo Debian, y el sistema también es conocido por ser un sistema de empaquetado eficaz. SignServer admite la firma de paquetes Debian utilizando el formato dpkg-sig y OpenPGP. Las operaciones de gestión de claves son las mismas que las del firmador OpenPGP genérico en SignServer.

De estar previamente disponible en exclusiva para los usuarios de SignServer Enterprise Edition, el firmador dpkg-sig de Debian está ahora también disponible en SignServer Community 5.11. Lea más en las notas de publicación.

Cómo configurarlo en SignServer

Configurar su firmante de paquetes Debian u OpenPGP en SignServer es fácil. Sus aplicaciones pueden acceder al firmador de Debian u OpenPGP a través de una integración directa en la interfaz web de servicios web o a través de SignServer SignClient. La funcionalidad de firma también está disponible para los usuarios a través de una interfaz web. Los usuarios y las aplicaciones siempre están autenticados, y todos los archivos de registro están firmados para garantizar una auditoría y una funcionalidad de registro adecuadas.

Ni la firma de paquetes Debian ni el formato de firma OpenPGP utilizan certificados X.509. Sin embargo, en SignServer, las operaciones de firma de Debian y OpenPGP se gestionan como cualquier otra operación de firma de código. Se recomienda un módulo de seguridad Hardware (HSM) para almacenar la clave privada y ejecutar la operación de firma.

Primeros pasos con OpenPGP o la firma de paquetes de Debian

¿Quiere probar a firmar sus paquetes OpenPGP o Debian con SignServer? Aquí te explicamos cómo empezar:

  1. Despliegue SignServer Community, consulte la Guía de inicio rápido - Inicie SignServer Container.
  2. Configure la firma OpenPGP o Debian, consulte la guía técnica de firma de código.