Debian packages 的签名与验证
2026/7/18 10:11:11 网站建设 项目流程

1. 生成 GPG 密钥

首先需要生成 GPG (GNU Privacy Guard)密钥对用于签名:

# 生成 GPG 密钥 gpg --gen-key # 选择密钥类型(推荐 RSA) # 选择密钥大小(推荐 2048 或 4096) # 设置密钥有效期(0 表示永不过期) # 输入姓名、邮箱和注释信息 # 设置保护私钥的密码

查看生成的密钥:

gpg --list-keys

2. 导出公钥

将公钥导出以便其他人可以验证你的签名:

# 导出公钥到文件 gpg --armor --export your-email@example.com > public-key.gpg # 或者直接显示在终端 gpg --armor --export your-email@example.com

3. 安装 dpkg-sig 工具

sudo apt-get install dpkg-sig

4. 签名 Debian 包

使用 dpkg-sig 对 Debian 包进行签名:

# 获取 GPG 密钥 ID(从 gpg --list-keys 输出中获取) gpg --list-keys # 使用 dpkg-sig 签名包 dpkg-sig -k <GPG密钥ID> --sign builder package-name.deb # 示例 dpkg-sig -k E5124174 --sign builder aribas_1.64-6_amd64.deb

5. 验证签名

在同一台机器上验证:

dpkg-sig --verify package-name.deb

如果验证成功,将显示GOODSIG

在其他机器上验证:

  1. 首先导入签名者的公钥:

gpg --import public-key.gpg
  1. 然后验证包签名:

dpkg-sig --verify package-name.deb

6. 常见问题解决

旧版本 dpkg-sig 的兼容性问题

如果遇到BADSIG错误(特别是对于 xz 压缩的包),可能是 dpkg-sig 版本过旧:

# 手动下载新版本 wget http://archive.ubuntu.com/ubuntu/pool/main/d/dpkg-sig/dpkg-sig_0.13.1+nmu4_all.deb # 解压并提取可执行文件 ar vx dpkg-sig_0.13.1+nmu4_all.deb tar -xvf data.tar.xz # 使用新版本验证 ./usr/bin/dpkg-sig --verify package-name.deb

7. 完整流程示例

# 1. 生成密钥 gpg --gen-key # 2. 查看密钥ID gpg --list-keys # 3. 签名包 dpkg-sig -k E5124174 --sign builder my-package.deb # 4. 验证签名 dpkg-sig --verify my-package.deb # 5. 导出公钥供他人使用 gpg --armor --export your-email@example.com > my-public-key.gpg

注意事项

  • 确保使用足够强度的密钥(2048位或以上)

  • 妥善保管私钥和密码

  • 在验证环境中正确导入公钥

  • 定期更新密钥和检查签名有效性

通过以上步骤,你可以确保 Debian 包的完整性和来源可信性,满足安全标准要求。

参考:

https://hussainaliakbar.github.io/generating-and-using-GPG-keys/ https://hussainaliakbar.github.io/digitally-signing-and-verification-of-debian-packages-with-dpkg-sig/

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询