Signer un dépôt Apt

Si vous avez suivi les articles précédents, vous savez désormais créer un paquet Deb et créer un dépôt Apt. Nous allons maintenant décrire la signature des paquets et du dépôt à l’aide GnuPG.

On va commencer par l’installer :

$ sudo apt-get update && sudo apt-get upgrade -y
$ sudo apt-get install gnupg

$ sudo apt-get update && sudo apt-get upgrade -y

$ sudo apt-get install gnupg

Générer la clé GPG de signature

Note: Il peut être intéressant de créer la clé avec le compte root si c’est lui qui met à jour reprepro. Ce n’est pas obligatoire et si vous ne souhaitez pas le faire, vous pourrez modifier un peu le script /var/reprepro/update pour manipuler les droits. Je vous laisse voir les modifications à y apporter dans ce cas.

Nous allons commencer par générer la clé. L’opération prend un certain temps, que je ne peux préciser puisque j’ai fini par baisser les bras et aller me coucher en laissant tourner GNU PG toute la nuit.

$ gpg --gen-key
gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: répertoire « /home/dmeziere/.gnupg » créé
gpg: nouveau fichier de configuration « /home/dmeziere/.gnupg/gpg.conf » créé
gpg: Attention : les options de « /home/dmeziere/.gnupg/gpg.conf » ne sont pas encore actives cette fois
gpg: le porte-clefs « /home/dmeziere/.gnupg/secring.gpg » a été créé
gpg: le porte-clefs « /home/dmeziere/.gnupg/pubring.gpg » a été créé
Sélectionnez le type de clef désiré :
   (1) RSA et RSA (par défaut)
   (2) DSA et Elgamal
   (3) DSA (signature seule)
   (4) RSA (signature seule)
Quel est votre choix ? 
les clefs RSA peuvent faire une taille comprise entre 1024 et 4096 bits.
Quelle taille de clef désirez-vous ? (2048) 
La taille demandée est 2048 bits
Veuillez indiquer le temps pendant lequel cette clef devrait être valable.
         0 = la clef n'expire pas
      <n>  = la clef expire dans n jours
      <n>w = la clef expire dans n semaines
      <n>m = la clef expire dans n mois
      <n>y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0) 
La clef n'expire pas du tout
Est-ce correct ? (o/N) o

Rien de compliqué, on laisse systématiquement les valeurs par défaut. Je reprends :

Une identité est nécessaire à la clef ; le programme la construit à partir
du nom réel, d'un commentaire et d'une adresse électronique de cette façon :
   « Heinrich Heine (le poète) <heinrichh@duesseldorf.de> »

Nom réel : David Mézière
Adresse électronique : ********@****.**
Commentaire : 
Vous utilisez le jeu de caractères « utf-8 ».
Vous avez sélectionné cette identité :
    « David Mézière <********@****.**> »

Faut-il modifier le (N)om, le (C)ommentaire, l'(A)dresse électronique
ou (O)ui/(Q)uitter ? o
Une phrase secrète est nécessaire pour protéger votre clef secrète.

Selon Debian, l’utilisation d’un commentaire, comme dans l’exemple « le poète », est déconseillée. On ne signe pas quelque chose en mettant ce type de commentaire, ce à quoi j’adhère.

C’est maintenant que l’on s’attaque à la partie extrêmement longue, la génération de la clé à proprement parler :

De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.

Il n'y a pas suffisamment d'octets aléatoires disponibles. Veuillez faire
autre chose pour que le système d'exploitation puisse rassembler plus
d'entropie (300 octets supplémentaires sont nécessaires).
.......+++++
..+++++
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.

Il n'y a pas suffisamment d'octets aléatoires disponibles. Veuillez faire
autre chose pour que le système d'exploitation puisse rassembler plus
d'entropie (92 octets supplémentaires sont nécessaires).
.+++++

Il n'y a pas suffisamment d'octets aléatoires disponibles. Veuillez faire
autre chose pour que le système d'exploitation puisse rassembler plus
d'entropie (128 octets supplémentaires sont nécessaires).
...........+++++
gpg: /home/dmeziere/.gnupg/trustdb.gpg : base de confiance créée
gpg: clef ******** marquée de confiance ultime.
les clefs publique et secrète ont été créées et signées.

gpg: vérification de la base de confiance
gpg: 3 marginale(s) nécessaire(s), 1 complète(s) nécessaire(s),
     modèle de confiance PGP
gpg: profondeur : 0  valables :   1  signées :   0
     confiance : ***********************************
pub   2048R/357B968B 2016-02-17

La paire de clés privée / publique est comme toujours au format binaire. Contrairement à cette dernière, une représentation ASCII de la clé publique utilise un jeu réduit de symboles qui transite très facilement par tout moyen de communication. Nous allons maintenant générer cette représentation texte qui permettra à vos usagers de faire confiance à votre dépôt Apt comme à vos paquets Deb.

$ gpg --armor --export ********@****.** --output > ********@****.**.gpg.key
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1
(...)
-----END PGP PUBLIC KEY BLOCK-----

$ gpg --armor --export ********@****.** --output > ********@****.**.gpg.key

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v1

(...)

-----END PGP PUBLIC KEY BLOCK-----

Signer un paquet Deb

Si vous utilisez la procédure Debian pour créer vos paquets, dpkg-buildpackage détectera automatiquement votre clé et l’utilisera pour les signer.

Avec la procédure simplifiée que nous avons vu ensemble, ce ne sera pas le cas. Nous allons utiliser dpkg-sig.

$ sudo apt-get install dpkg-sig

1	$ sudo apt-get install dpkg-sig

Entre le moment où vous avez créé votre paquet Deb et le moment ou vous l’avez ajouté à votre dépôt Apt, vous allez maintenant pouvoir le signer :

$ dpkg-sig --sign builder dme-sys-base_1.0-1.deb 
Processing dme-sys-base_1.0-1.deb...

Une phrase secrète est nécessaire pour déverrouiller la clef secrète de
l'utilisateur : « David Mézière <********@****.**> »
clef RSA de 2048 bits, identifiant ********, créée le 2016-02-17

Signed deb dme-sys-base_1.0-1.deb

Builder étant le rôle du signataire. On n’a pas besoin ici de préciser la clé à utiliser, dpkg-sig va prendre la clé binaire que nous venons de créer dans votre profil utilisateur.

Nous allons maintenant voir comment signer votre dépôt, ce qui épargnera à vos utilisateurs lors de l’installation avec apt-get les avertissements du type :

ATTENTION : les paquets suivants n'ont pas été authentifiés.
  dme-sys-base dme-usr-dmeziere
Faut-il installer ces paquets sans vérification ? [o/N]

Si vous avez mis en place votre dépôt Apt comme nous l’avons vu dans l’article précédent, vous pouvez le réinitialiser en supprimant sa base de données et la partie frontale :

$ sudo rm -rf /var/reprepro/debian/db /var/www/html/debian/*

1	$ sudo rm -rf /var/reprepro/debian/db /var/www/html/debian/*

Nous allons mettre à jour notre configuration de distribution et y intégrer la directive SignWith à chaque distribution que nous souhaitons signer :

Origin: David Mézière
Label: Dépôt personnel
Suite: stable
Codename: jessie
Version: 8
Architectures: i386 amd64
Components: main
Description: Dépôt du réseau local
SignWith: yes

Lorsque SignWith vaut yes, reprepro ira chercher la clé dans votre profile. Vous pouvez aussi au lieu de yes indiquer l’ID de la clé. Vous pouvez retrouver cet id grâce à la commande :

$ gpg --list-keys
/home/dmeziere/.gnupg/pubring.gpg
---------------------------------
pub   2048R/357B968B 2016-02-17
uid                  David Mézière <dmeziere@free.fr>
sub   2048R/F787300E 2016-02-17

Il s’agit ici de la partie F787300E de la ligne qui commence par sub.

Enfin, nous allons modifier les options de reprepro pour qu’il nous demande le mot de passe de la clé :

verbose
ask-passphrase
basedir /var/reprepro/debian
outdir  /var/www/html/debian

verbose

ask-passphrase

basedir /var/reprepro/debian

outdir /var/www/html/debian

Installer la signature du dépôt Apt

Pour pouvoir bénéficier de votre dépôt signé, vos utilisateurs vont devoir installer votre signature dans leur configuration Apt. Au premier chapitre de cet article, nous avons créé une version texte de votre clé publique, que nous avons enregistré dans le fichier [votre adresse email].gpg.key à l’aide de la commande gpg --armor.

Nous allons placer cette clé à la racine du serveur web afin qu’elle soit facilement téléchargeable. Dans notre configuration d’exemple, il s’agit du dossier /var/www/html/.

Vos utilisateurs peuvent désormais l’ajouter en une seule ligne de commande :

$ wget -O- http://127.0.0.1/********@****.**.gpg.key | sudo apt-key add -
--2016-02-18 23:53:42--  http://127.0.0.1/********@****.**.gpg.key
Connexion à 127.0.0.1:80… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : 1702 (1,7K) [application/pgp-keys]
Sauvegarde en : « STDOUT »

-                                                     100%[========================================================================================================================>]   1,66K  --.-KB/s   ds 0s     

2016-02-18 23:53:42 (258 MB/s) — envoi vers sortie standard [1702/1702]

OK

Après un apt-get update, vous constaterez que vos apt-get install n’affichent plus d’avertissement à l’installation de vos paquets Deb.

Générer la clé GPG de signature

Signer un paquet Deb

Signer un dépôt Apt

Installer la signature du dépôt Apt

Un commentaire