GPG 対応キーで署名されたパッケージ

(UIM 20.3.3 以降) このリリースの UIM は、GPG (GNU Privacy Guard)対応キーで署名された .rpm および .deb パッケージを提供します。この強化されたセキュリティ メカニズムにより、パッケージの整合性が維持されます。これにより、インストールに使用しているパッケージが、サポート サイトからダウンロードしたパッケージと同じものであることを検証できます。したがって、署名後にパッケージに変更が加えられていないことを確認できるため、配信されたパッケージの品質とセキュリティが保証されます。
以下の図は、プロセスの概要を示しています。
以下のトピックでは、情報を説明します。
3
2
サポートされている RPM および DEB パッケージ
以下のパッケージは GPG 対応キーで署名されています。
  • nimsoft-robot.i386.rpm
  • nimsoft-robot.x86_64.rpm
  • nimsoft-robot+debian_amd64.deb
  • nimsoft-robot+ubuntu_amd64.deb
以前のバージョンのパッケージは、GPG 対応キーで署名されないことにご注意ください。
前提条件の確認
お使いの環境が以下の要件を満たしていることを確認します。
  • GPG バージョン 2.2.4 (以降)
  • RPM バージョン 4.0 (以降)
  • dpkg-sig (Debian/Ubuntu バイナリ用)
署名された RPM および DEB パッケージのシグネチャを検証する
署名された RPM および DEB パッケージのシグネチャを検証するには、このセクションで説明されている適切な手順に従います。
署名された RPM パッケージのシグネチャを検証する
パッケージをインストールする前に、パッケージのシグネチャを検証して、パッケージが改ざんされていないことを確認できます。これを行うには、GPG 公開キーを GPG キーリングと RPM データベースにインポートしてから、シグネチャを検証する必要があります。 
以下の手順に従います。
  1. 署名された .rpm パッケージと GPG 公開キーがコンピュータで利用可能かどうかを検証します。
    UIM ホットフィックス インデックス サイトから GPG 公開キー ファイルをダウンロードします。
  2. 以下のコマンドを使用して GPG 公開キーを GPG キーリングにインポートします。
    [[email protected] ~]# gpg --import GPG-KEY-UIM-001
    コマンドを実行すると、以下の応答が表示されます。コマンド出力の「
    imported: 1
    」は、ファイルが正常にインポートされたことを示します。
    gpg: key 8B4FDD0849C0B447: public key "uimbuild (UIM GPG signing key) <[email protected]>" import gpg: Total number processed: 1 gpg: imported: 1
  3. 以下のコマンドを使用して GPG 公開キーを RPM データベースにインポートします。
    [[email protected] ~]# rpm --import GPG-KEY-UIM-001
    このコマンドは、画面に出力を表示しません。そのため、以下のコマンドを使用して、公開キー ファイルがインポートされたことを検証できます。
    [[email protected] ~]# rpm -q gpg-pubkey --qf '%{name}-%{version}-%{release} --> %{summary}\n'
    このコマンドを実行すると、以下の出力が生成されます。出力内のセグメント「
    uimbuild (UIM GPG Signing) <[email protected]>
    」は、公開キー ファイルがインポートされたことを示しています。
    gpg-pubkey-fd431d51-4ae0493b --> gpg(Red Hat, Inc. (release key 2) <[email protected]>) gpg-pubkey-2fa658e0-45700c69 --> gpg(Red Hat, Inc. (auxiliary key) <[email protected]>) gpg-pubkey-b74246ce-58d281c9 --> gpg(uimbuild (UIM GPG Signing) <[email protected]>)
  4. 以下のコマンドを使用して、シグネチャを検証します。
    [[email protected] ~]# rpm -K nimsoft-robot.x86_64.rpm
    コマンドを実行すると、以下の応答が表示されます。この応答には、シグネチャが正常に検証されたことが表示されます。
    nimsoft-robot.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
RPM パッケージを正常に確認できました。
検証後に RPM パッケージをインストールする
設定に応じて、適切なコマンドを使用して検証後にパッケージをインストールできます。
  • パッケージを手動で(直接)インストールする場合は、以下のコマンドを使用できます。
    [[email protected] ~]# rpm -ivh nimsoft-robot.x86_64.rpm
    コマンドを実行すると、以下の応答が表示されます。応答には、パッケージが正常にインストールされたことが表示されます。
    Preparing... ################################# [100%] Updating / installing... 1:nimsoft-robot-9.31-1 ################################# [100%]
  • RPM パッケージがリポジトリの一部である場合は、以下のコマンドを使用してパッケージをインストールできます。
    [[email protected] ~]# yum install nimsoft-robot
    コマンドを実行すると、以下の出力が生成されます。出力には、インストールが成功したことが表示されます。
    Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered with an entitlement server. You can use subscription-manager to register. Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================ Package Arch Version Repository Size ============================================================================================================= Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary ============================================================================================================== Install 1 Package Total download size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Warning: RPMDB altered outside of yum. Installing : nimsoft-robot-9.31-1.x86_64 1/1 Verifying : nimsoft-robot-9.31-1.x86_64 1/1 Installed: nimsoft-robot.x86_64 0:9.31-1 Complete!
シグネチャを検証せずに RPM パッケージをインストールする
署名された RPM パッケージのシグネチャを検証しない場合は、検証なしでパッケージのインストールを続行できます。設定に応じて、適切なコマンドを使用してパッケージをインストールできます。
  • パッケージを手動で(直接)インストールする場合は、以下のコマンドを使用できます。このコマンドを実行すると、コマンドの出力にシグネチャが検証されていないという警告が表示されます。この警告を無視してインストールを続行できます。
    [[email protected] ~]# rpm -ivh nimsoft-robot.x86_64.rpm
    以下の応答のように、最初に警告メッセージが表示され、インストールを続行します。
    warning: nimsoft-robot.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID 49c0b447: NOKEY Preparing... ################################# [100%] Updating / installing... 1:nimsoft-robot-9.31-1 ################################# [100%]
  • パッケージがリポジトリの一部で、 リポジトリからインストールする場合は、--nogpgcheck フィルタで以下のコマンドを使用します。
    [[email protected] ~]# yum install --nogpgcheck nimsoft-robot
    コマンドを実行すると、以下の応答が表示されます。パッケージは正常にインストールされました。
    Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered with an entitlement server. You can use subscription-manager to register. Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================== Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary =========================================================================================================================================== Install 1 Package Total size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Warning: RPMDB altered outside of yum. Installing : nimsoft-robot-9.31-1.x86_64 1/1 Verifying : nimsoft-robot-9.31-1.x86_64 1/1 Installed: nimsoft-robot.x86_64 0:9.31-1 Complete!
    --nogpgcheck フィルタを使用しない場合、パッケージ シグネチャが検証されていないとインストールを続行できません。出力に警告メッセージが表示され、インストールはこれ以上続行しません。
    Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ==================================================================================================================== Package Arch Version Repository Size ==================================================================================================================== Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary ===================================================================================================================== Install 1 Package Total download size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: warning: /var/cache/yum/x86_64/7Server/nimsoft-remote-repo/packages/nimsoft-robot.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 4b4b47fd: NOKEY======================] 39 kB/s | 10 MB 00:00:00 ETA Public key for nimsoft-robot.x86_64.rpm is not installed nimsoft-robot.x86_64.rpm | 10 MB 00:07:23 Public key for nimsoft-robot.x86_64.rpm is not installed
署名された DEB パッケージのシグネチャを検証する
DEB パッケージをインストールする前に、パッケージのシグネチャを検証して、パッケージが改ざんされていないことを確認できます。これを行うには、GPG 公開キーを GPG キーリングと APT データベースにインポートしてから、シグネチャを検証します。
以下の手順に従います。
  1. 署名された .deb パッケージと GPG 公開キー ファイルがコンピュータで利用可能かどうかを検証します。
    UIM ホットフィックス インデックス サイトから GPG 公開キー ファイルをダウンロードします。
  2. 以下のコマンドを使用して GPG 公開キーを GPG キーリングにインポートします。
    [[email protected] ~]# gpg --import GPG-KEY-UIM-001
    コマンドを実行すると、以下の応答が表示されます。コマンド出力の「
    imported: 1
    」は、ファイルが正常にインポートされたことを示します。
    gpg: key 8B4FDD0849C0B447: public key "uimbuild (UIM GPG signing key) <[email protected]>" import gpg: Total number processed: 1 gpg:
    imported: 1
  3. 以下のコマンドを使用して GPG 公開キーを APT データベースにインポートします。
    [[email protected] ~]# apt-key add GPG-KEY-UIM-001
    コマンドを実行すると、以下の応答が表示されます。コマンド出力の「
    OK
    」は、ファイルが正常に追加されたことを示します。
    OK
  4. 以下のコマンドを使用して、シグネチャを検証します。
    [[email protected] ~]# dpkg-sig --verify nimsoft-robot+debian_amd64.deb
    コマンドを実行すると、以下の応答が表示されます。コマンド出力の「
    GOODSIG
    」は、検証が成功したことを示します。
    Processing nimsoft-robot+debian_amd64.deb...
    GOODSIG
    _gpgbuilder B16265877A80C8FB40327C4A681EFD1DE5124174 1523440651
シグネチャを正常に検証できました。
検証後に DEB パッケージをインストールする
設定に応じて、適切なコマンドを使用して検証後にパッケージをインストールできます。
  • パッケージを手動で(直接)インストールする場合は、以下のコマンドを使用できます。
    [[email protected] ~]# dpkg -i nimsoft-robot+ubuntu_amd64.deb
    コマンドを実行すると、以下の応答が表示されます。応答には、パッケージのインストールが表示されます。
    Selecting previously unselected package nimsoft-robot. (Reading database ... 121866 files and directories currently installed.) Preparing to unpack nimsoft-robot+ubuntu_amd64.deb ... Unpacking nimsoft-robot (9.31) ... Setting up nimsoft-robot (9.31) ... Processing triggers for ureadahead (0.100.0-20) ...
  • DEB パッケージがリポジトリの一部である場合は、以下のコマンドを使用してパッケージをインストールできます。
    [email protected]:~# apt-get install nimsoft-robot
    コマンドを実行すると、以下の出力が生成されます。出力には、インストールが表示されます。
    Reading package lists... Done Building dependency tree Reading state information... Done The following package was automatically installed and is no longer required: grub-pc-bin Use 'apt autoremove' to remove it. The following NEW packages will be installed: nimsoft-robot 0 upgraded, 1 newly installed, 0 to remove and 99 not upgraded. Need to get 9051 kB of archives. After this operation, 12.3 MB of additional disk space will be used. Get:1 http://10.xx.xxx.xxx trusty/main amd64 nimsoft-robot amd64 9.20 [9051 kB] Fetched 9051 kB in 1s (17.5 MB/s) Selecting previously unselected package nimsoft-robot. (Reading database ... 123945 files and directories currently installed.) Preparing to unpack .../nimsoft-robot_9.20_amd64.deb ... Unpacking nimsoft-robot (9.20) ... Processing triggers for ureadahead (0.100.0-20) ... Processing triggers for systemd (237-3ubuntu10.38) ... Setting up nimsoft-robot (9.20) ... update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
シグネチャを検証せずに DEB パッケージをインストールする
署名された DEB パッケージのシグネチャを検証しない場合は、検証なしでパッケージのインストールを続行できます。設定に応じて、適切なコマンドを使用してパッケージをインストールできます。
  • パッケージを手動で(直接)インストールする場合は、以下のコマンドを使用できます。
    [[email protected] ~]# dpkg -i nimsoft-robot+ubuntu_amd64.deb
    以下の応答は、インストール プロセスを示しています。
    Selecting previously unselected package nimsoft-robot. (Reading database ... 121866 files and directories currently installed.) Preparing to unpack nimsoft-robot+ubuntu_amd64.deb ... Unpacking nimsoft-robot (9.31) ... Setting up nimsoft-robot (9.31) ... Processing triggers for ureadahead (0.100.0-20) ...
    このコマンドは、Ubuntu 8.04.2 LTS バージョンで実行されました。このバージョンでは、パッケージのシグネチャが検証されていないという特定の警告は表示されません。
  • パッケージがリポジトリの一部で、 リポジトリからインストールする場合は、--allow-unauthenticated フィルタで以下のコマンドを使用します。
    [email protected]:~# apt-get --allow-unauthenticated install nimsoft-robot