Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Sécuriser OpenPGP et les paquets Debian avec la signature de code

Communauté des développeurs

Dans la chaîne d'approvisionnement software , la signature et la vérification du code permettent d'éviter que du code malveillant ne pénètre dans votre environnement. À partir de la version 5.11 de la communauté SignServer , vous pouvez signer numériquement les paquets Debian.

Si vous n'êtes pas familier avec la signature de code, il s'agit du processus de signature numérique du code, des exécutables, des scripts et des paquets de mise à jour software afin de confirmer le créateur du code et d'être en mesure de valider que le code n'a pas été manipulé ou corrompu involontairement depuis qu'il a été signé.

SignServer est une signature de code côté serveur software qui prend en charge plusieurs formats de signature de code. Dans l'édition communautaire de SignServer , vous pouvez signer des paquets Open PGP et Debian, par exemple.

À propos de la signature OpenPGP

OpenPGP est couramment utilisé pour les projets Open-Source software et l'empaquetage software pour les environnements Linux. Le signataire OpenPGP SignServer peut signer des données arbitraires et produire une signature détachée OpenPGP (RFC 4880) sous forme binaire ou ASCII ou une signature en clair.

À propos de la signature des paquets Debian

Debian est un système d'exploitation populaire et disponible gratuitement. Un grand nombre d'organisations utilisent le système d'exploitation Debian, et le système est également connu pour être un système d'empaquetage efficace. SignServer gère la signature des paquets Debian en utilisant le format dpkg-sig et OpenPGP. Les opérations de gestion des clés sont les mêmes que celles du signataire OpenPGP générique sur SignServer.

Alors qu'il était auparavant exclusivement disponible pour les utilisateurs de SignServer Enterprise Edition, le signataire Debian dpkg-sig est désormais également disponible dans SignServer Community 5.11. Pour en savoir plus, lisez les notes de publication.

Comment l'installer dans SignServer

Il est facile de configurer le signataire de votre paquet Debian ou le signataire OpenPGP dans SignServer . Vos applications peuvent accéder au signataire Debian ou OpenPGP via une intégration directe à l'interface web des services web ou via le SignClient SignServer . La fonctionnalité de signature est également accessible aux utilisateurs via une interface web. Les utilisateurs et les applications sont toujours authentifiés, et tous les fichiers journaux sont signés pour garantir une fonctionnalité d'audit et de journalisation adéquate.

Ni le format de signature des paquets Debian, ni le format de signature OpenPGP n'utilisent de certificats X.509. Cependant, dans SignServer, les opérations de signature de Debian et d'OpenPGP sont traitées comme toute autre opération de signature de code. Un module de sécurité Hardware (HSM) est recommandé pour stocker la clé privée et exécuter l'opération de signature.

Démarrer avec OpenPGP ou la signature de paquets Debian

Voulez-vous essayer de signer vos paquets OpenPGP ou Debian avec SignServer? Voici comment commencer :

  1. Déployer SignServer Community, voir Quick Start Guide - Start SignServer Container.
  2. Configurez la signature OpenPGP ou Debian, voir le guide technique de la signature de code.