DV.net Docs

Appearance

Верификация пакетов и установленного программного обеспечения

Проверка подлинности наших пакетов с помощью GPG

Все наши пакеты .deb и .rpm и чексуммы подписаны криптографической подписью с использованием ключей GPG. Это гарантирует, что пакеты, которые вы загружаете, были созданы нами и не были изменены или повреждены третьими лицами. Вы можете легко проверить подлинность пакета, используя наш публичный ключ.

Все исходный код проекта, соответствующий скомпилированный исполняемый файл, а так же .deb и .rpm пакеты публикуются в релизах github.com. Соответствующие им подписи расположены там же в файлах .sig

Пример: https://github.com/dv-net/dv-merchant/releases/tag/v0.9.4

github-signed-assets.png

Шаг 1: Импортируйте наш публичный GPG ключ

Прежде всего, вам необходимо импортировать наш публичный ключ в вашу связку ключей. Это нужно сделать только один раз. Наш ключ опубликован по адресу https://dv.net/gpg.pub

Сохраните пубоичный ключ к себе на сервер:

curl https://dv.net/gpg.pub -o dv-net.asc

Импортируйте в связку ключей:

bash
gpg --import dv-net.asc

Шаг 2: Проверьте подпись пакета

После импорта ключа вы можете проверить подпись любого загруженного вами пакета.

Для пакетов .deb (Debian/Ubuntu)

Для проверки .deb пакета используйте команду dpkg-sig. Если она не установлена, вы можете установить ее с помощью sudo apt-get install dpkg-sig.

bash
dpkg-sig --verify имя_пакета.deb

Если подпись действительна, вы увидите в выводе статус GOODSIG от доверенного ключа.

Для пакетов .rpm (Fedora/CentOS/RHEL)

Для проверки .rpm пакета используйте команду rpm.

bash
rpm --checksig имя_пакета.rpm

Если подпись верна, в выводе команды вы увидите, что все проверки (включая gpg) пройдены успешно (OK).

Выполнение этих простых шагов поможет вам убедиться в целостности и подлинности наших программных пакетов.