1. 生成 GPG 密钥
首先需要生成 GPG (GNU Privacy Guard)密钥对用于签名:
# 生成 GPG 密钥
gpg --gen-key
# 选择密钥类型(推荐 RSA)
# 选择密钥大小(推荐 2048 或 4096)
# 设置密钥有效期(0 表示永不过期)
# 输入姓名、邮箱和注释信息
# 设置保护私钥的密码查看生成的密钥:
gpg --list-keys2. 导出公钥
将公钥导出以便其他人可以验证你的签名:
# 导出公钥到文件
gpg --armor --export your-email@example.com > public-key.gpg
# 或者直接显示在终端
gpg --armor --export your-email@example.com3. 安装 dpkg-sig 工具
sudo apt-get install dpkg-sig4. 签名 Debian 包
使用 dpkg-sig 对 Debian 包进行签名:
# 获取 GPG 密钥 ID(从 gpg --list-keys 输出中获取)
gpg --list-keys
# 使用 dpkg-sig 签名包
dpkg-sig -k <GPG密钥ID> --sign builder package-name.deb
# 示例
dpkg-sig -k E5124174 --sign builder aribas_1.64-6_amd64.deb5. 验证签名
在同一台机器上验证:
dpkg-sig --verify package-name.deb如果验证成功,将显示 GOODSIG。
在其他机器上验证:
-
首先导入签名者的公钥:
gpg --import public-key.gpg
-
然后验证包签名:
dpkg-sig --verify package-name.deb
6. 常见问题解决
旧版本 dpkg-sig 的兼容性问题
如果遇到 BADSIG错误(特别是对于 xz 压缩的包),可能是 dpkg-sig 版本过旧:
# 手动下载新版本
wget http://archive.ubuntu.com/ubuntu/pool/main/d/dpkg-sig/dpkg-sig_0.13.1+nmu4_all.deb
# 解压并提取可执行文件
ar vx dpkg-sig_0.13.1+nmu4_all.deb
tar -xvf data.tar.xz
# 使用新版本验证
./usr/bin/dpkg-sig --verify package-name.deb7. 完整流程示例
# 1. 生成密钥
gpg --gen-key
# 2. 查看密钥ID
gpg --list-keys
# 3. 签名包
dpkg-sig -k E5124174 --sign builder my-package.deb
# 4. 验证签名
dpkg-sig --verify my-package.deb
# 5. 导出公钥供他人使用
gpg --armor --export your-email@example.com > my-public-key.gpg注意事项
-
确保使用足够强度的密钥(2048位或以上)
-
妥善保管私钥和密码
-
在验证环境中正确导入公钥
-
定期更新密钥和检查签名有效性
通过以上步骤,你可以确保 Debian 包的完整性和来源可信性,满足安全标准要求。
参考:
https://hussainaliakbar.github.io/generating-and-using-GPG-keys/ https://hussainaliakbar.github.io/digitally-signing-and-verification-of-debian-packages-with-dpkg-sig/