Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Exporter clef GPG pour signer les rpms!

kwizart

Bonjour!

En suivant ce tuto:
http://www.fedora-france.org/modules/wiwimod/index.php?page=RPM+:+environnement+de+construction&back=WiwiHome

J'aimerai savoir comment faire pour exporter une clé et l'importer sous un compte différent (nom différent) pour pouvoir signer les rpms sur deux machines distinctes...

En fait j'ai 4 users en tout! (2 sur chaques machines un builder et un utilisateur courant). J'ai exporter ma clé publique mais je ne sais pas comment faire pour la clé qui serait privé... Il faudra que je l'importe sous chaque compte!

drpixel

copie le dossier $HOME/.gnupg et remet les bons utilisateurs, groupes et permissions.

Anvil

Je te suggere plutot de les signer tous au meme endroit. Dupliquer une cle privee n'est pas une bonne idee.

drpixel

Je te suggere plutot de les signer tous au meme endroit. Dupliquer une cle privee n'est pas une bonne idee.

C'est effectivement ce que je fait.

kwizart

L'autre solution serait que j'utilise deux clefs et je signe les versions i386 avec une clé et les versions x86_64 avec une autre... reste les noarch...indifféremment! Est cela ne va pas poser problème... (il va comparer les deux clefs et l'une sera invalide...?)

drpixel

L'autre solution serait que j'utilise deux clefs et je signe les versions i386 avec une clé et les versions x86_64 avec une autre... reste les noarch...indifféremment! Est cela ne va pas poser problème... (il va comparer les deux clefs et l'une sera invalide...?)

C'est une très mauvaise solution ...
Ou tu copies le dossier $HOME/.gnupg (et tu remets tout ce qu'il faut ...) et tu signes sur chaque machine.
Ou tu as une machine pour signer et tu signe tout sur la même comme ça tu ne t'embetes pas avec la copie de la clé (il te reste néanmoins a en faire une sauvegarde ^^)

kwizart

dans le tuto, il est marqué:

Résultat : le dossier contenant vos clés publiques et privées :
# $HOME/.gnupg

Il est donc nécessaire d'indiquer cet emplacement en modifiant le fichier .rpmmacros :

%_signature gpg
%_gpg_name Votre Nom
%_gpg_path %(echo $HOME)/.gnupg

Cela signifie que c'est l'user qui fait la construction qui doit porter la clé? Que ce passe t-il si je signe en tant qu'utilisateur courant? (kwizart au lieu de builder?) . Le nom nécéssaire (gpg_name) est ce le nom de la session ou le nom reel qui m'a servit à générer la clé (mon nom à moi quoi!)ou le nom que j'ai choisit?

drpixel

Cela signifie que c'est l'user qui fait la construction qui doit porter la clé?

Non pas forcement ... je build avec un user et je copies tout mes RPMs sur une machine sur laquelle je les signes (c'est forcement un autre user)

Tu n'est pas obligé de mettre ça dans ton .rpmmacros si tu ne signes pas avec ton "build user".

%_gpg_name --> Nom réel

kwizart

Apparemment cela n'as pas marché je ne sais pas ce que doit retourner la commande:

[kwizatz@Kwizatz x86_64]$ rpmsign --checksig kmod-fglrx-8.26.18-1.2.6.16_1.2133_FC5.x86_64.rpm
kmod-fglrx-8.26.18-1.2.6.16_1.2133_FC5.x86_64.rpm: sha1 md5 OK

Les rpm que je telecharge via yum ne semblent pas signés!

drpixel

[drpixel@durandal ~]$ rpmsign --checksig checkgmail-1.9.2-1.fc5.drpixel.noarch.rpm
checkgmail-1.9.2-1.fc5.drpixel.noarch.rpm: (sha1) dsa sha1 md5 gpg OK
[drpixel@durandal ~]$

Voici la sortie d'une interrogation d'une clé signée par gpg.

kwizart

Quelquesoit l'utilisateur qui signe(celui qui a généré la clef ou celui qui construit), cela ne fonctionne pas (il me manque dsa et gpg).
j'ai pourtant utilisé la commande rpmsign --addsign kmod-fglrx-8.26.18-1.2.6.16_1.2133_FC5.x86_64.rpm.

Cela veut-il dire que la signature ne peux être faite que si le .rpmmacros contient :

%_signature gpg
%_gpg_name builder /ou kwizart ???
%_gpg_path %(echo $HOME)/.gnupg

Je n'arrive pas à comprendre pourquoi il ne prend pas la signature...

drpixel

On va dégrossir ... Prenons l'hypothèse d'un builder et d'un signeur ...

Voici le rpmmacros du builder :

[drpixel@phoenix ~]$ cat .rpmmacros
%_topdir      %(echo $HOME)/rpmbuild
%_smp_mflags  -j3
%__arch_install_post   /usr/lib/rpm/check-rpaths   /usr/lib/rpm/check-buildroot
%packager The Packager <packager@company.tld>
%vendor company
%dist .fc5

Celui du signeur :

[drpixel@stinger ~]$ cat .rpmmacros
%_topdir      %(echo $HOME)/rpmbuild
%_smp_mflags  -j3
%__arch_install_post   /usr/lib/rpm/check-rpaths   /usr/lib/rpm/check-buildroot
%packager The Packager <packager@company.tld>
%vendor company
%dist .fc5
%_signature             gpg
%_gpg_name              drpixel
%_gpg_path              %(echo $HOME)/.gnupg

A savoir qu'ici mon signeur ... me sert a builder quelques petits trucs à l'occasion.

Contenu de .gnupg (avec les permissions) chez moi :

[drpixel@stinger ~]$ ll .gnupg/
total 56
-rw------- 1 drpixel drpixel 9231 avr 29 13:08 gpg.conf
-rw------- 1 drpixel drpixel 1216 avr 29 13:11 pubring.gpg
-rw------- 1 drpixel drpixel 1216 avr 29 13:11 pubring.gpg~
-rw------- 1 drpixel drpixel  600 jun 27 00:01 random_seed
-rw------- 1 drpixel drpixel 1365 avr 29 13:11 secring.gpg
-rw------- 1 drpixel drpixel 1280 avr 29 13:11 trustdb.gpg

Cela veut-il dire que la signature ne peux être faite que si le .rpmmacros contient :

Tout à fait !

kwizart

Ok j'ai donc réussi à signer sous le poste qui à généré la clef (compte kwizart, pc portable i686)

Donc cela devrait marcher, le depot est configuré tout marche, c'est juste que ce n'est pas pratique parceque je n'arrive pas à signer sur l'autre poste (compte kwizatz, pc fixe x86_64).
Si je copie la clef privée vers l'autre compte (kwizatz) de l'autre poste( malgré la mise en garde d'Anvil! je sais c'est pas bien!). Je n'arrive pas à signer...

La question est alors: Si je souhaite refaire une installation (FC6 par exemple) en reformatant l'ensemble. Je vais devoir creer un nouvel utilisateur (peut être le même nom...) et je devrais lui signifier d'utiliser la clef privé que j'aurais deja généré et que j'ai sauvegardé.
Pourquoi cela ne fonctionne pas sur un autre utilisateur (et autre pc sous fc5)?

drpixel

Sauvegarde $HOME/.gnupg (attention aux droits)
Tu modifies ton .rpmmacros en conséquence et le tour est joué.

Pourquoi cela ne fonctionne pas sur un autre utilisateur (et autre pc sous fc5)?

Aucune idée, ... problème de droits ?

kwizart

Voici le compte qui devrai signer mais ne peut pas:

[kwizatz@Kwizatz .gnupg]$ ls -al
total 72
drwx------ 2 kwizatz kwizatz 4096 jui 7 18:55 .
drwx------ 50 kwizatz kwizatz 4096 jui 7 19:13 ..
-rw------- 1 kwizatz kwizatz 9231 jun 30 08:29 gpg.conf
-rw------- 1 kwizatz kwizatz 1177 jun 30 08:35 pubring.gpg
-rw------- 1 kwizatz kwizatz 1177 jun 30 08:35 pubring.gpg~
-rw------- 1 kwizatz kwizatz 600 jun 30 08:35 random_seed
-rw------- 1 kwizatz kwizatz 1326 jun 30 08:35 secring.gpg
-rw------- 1 kwizatz kwizatz 1280 jun 30 08:35 trustdb.gpg

La seule différence qu'il y a c'est le repertoire .. qui est marqué 35 dans le compte signeur au lieu de 50 ici...

Citation du .rpmmacros du même compte (kwizatz)

%_topdir %(echo %HOME)/rpmbuild
%smp_mflags -j3
%__arch_install_post /usr/lib/rpm/check-rpaths /usr/lib/rpm/check-buildroot
%vendor kwizart
%packager utilisateur fedora-france.org
%dist .fc5
%signature gpg
%_gpg_name kwizart
%_gpg_path %(echo $HOME)/.gnupg