{"id":99,"date":"2014-01-09T20:00:00","date_gmt":"2014-01-09T20:00:00","guid":{"rendered":"http:\/\/esferas.org\/msqlu\/2014\/01\/09\/firmando-digitalmente-el-archivo-release\/"},"modified":"2019-12-18T12:13:41","modified_gmt":"2019-12-18T11:13:41","slug":"firmando-digitalmente-el-archivo-release","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2014\/01\/09\/firmando-digitalmente-el-archivo-release\/","title":{"rendered":"Firmando digitalmente el archivo Release …"},"content":{"rendered":"

\"debian-logo\"… en mi nuevo y flamante repositorio<\/a> Debian.<\/p>\n

<\/p>\n

En la entrada<\/a> en la que describ\u00eda la creaci\u00f3n del repositorio dej\u00e9 pendiente explicar c\u00f3mo asegurar el contenido del mismo empleando una firma digital. Voy a hablar de ello ahora.<\/p>\n

Para firmar digitalmente el archivo Release<\/em> tendremos que hacer lo siguiente:<\/p>\n

    \n
  1. Preparar la infraestructura de GnuPG.<\/li>\n
  2. Instalar un script<\/em> para firmar.<\/li>\n
  3. Indicar a mini-dinstall<\/em> que utilice dicho script<\/em>.<\/li>\n
  4. Situar la clave p\u00fablica para los clientes del repositorio.<\/li>\n<\/ol>\n

    Infraestructura de GnuPG<\/h4>\n

    El programa GnuPG emplea la variable de entorno GNUPGHOME\u00a0<\/em>para localizar el directorio donde se encuentran las claves. Es importante tenerlo en cuenta para el programa de firma y para asegurar en lo posible la clave privada. En mi caso he optado por situarlo bajo el directorio de trabajo de mini-dinstall<\/em> con un nombre raro: \/var\/lib\/debian\/.gnupgdir<\/em>.<\/p>\n

    Una vez decidido d\u00f3nde vamos a situar la infraestructura de gnupg<\/em> tenemos que crear nuestro par de claves de la forma habitual:<\/p>\n

    # su -l debpkg\n$ GNUPGHOME=\/var\/lib\/debian\/.secret gpg --gen-key<\/pre>\n
    Ahora guardamos la contrase\u00f1a de la clave privada en el archivo \/var\/lib\/debian\/.gnupgdir\/passphrase<\/em> y nos aseguramos de que s\u00f3lo el usuario debpkg<\/em> tenga acceso a \u00e9l. Usaremos este archivo en el script de firma.<\/p>\n
    Podemos adelantar trabajo y obtener una copia de la clave p\u00fablica para ponerla a disposici\u00f3n de los clientes del repositorio con:<\/p>\n
    # su debpkg --shell \/bin\/sh\n$ cd \/var\/lib\/debian\n$ GNUPGHOME=\/var\/lib\/debian\/.secret\n$ gpg --armor --export victor@taquiones.net > archive_key.asc<\/pre>\n
    Con los permisos restringidos tanto en el directorio como en el archivo esta parte estar\u00eda completa.<\/p>\n
    Instalar un script de firma<\/h4>\n
    El paquete mini-dinstall<\/em> ofrece un script creado por Colin Walters que podemos adaptar a nuestra instalaci\u00f3n concreta. El que yo estoy empleando utiliza un archivo de configuraci\u00f3n opcional por si necesito cambiar alg\u00fan valor en el futuro (es casi una man\u00eda personal).<\/p>\n
    #!<\/span>\/bin\/bash<\/span>\n# -*- coding: utf-8 -*-<\/span>\n# <\/span>\n#   Versi\u00f3n modificada del script de firma para mini-dinstall de Colin Walters<\/span>\n#<\/span>\n# Copyright \u00a9 2002 Colin Walters <\/span><<\/span>walters@debian.org<\/span>><\/span>\n\nset<\/span> -e<\/span>\n\n#   Variables de usuario<\/span>\nGNUPG_DIR<\/span>=<\/span>\/var\/lib\/debian<\/span>\/<\/span>.<\/span>secret\nKEYID<\/span>=<\/span>victor@taquiones.<\/span>net\nPASSPHRASE_FILE<\/span>=<\/span>$GNUPG_DIR<\/span>\/passphrase<\/span>\n\n#   Leemos configuraci\u00f3n si existe <\/span>\nCONFIG<\/span>=<\/span>\/etc\/taquiones\/debian.conf<\/span>\nif<\/span> [<\/span> -r<\/span> $CONFIG<\/span> ]<\/span>;<\/span> then<\/span> \n    .<\/span> $CONFIG<\/span>\nfi<\/span> \n\n# Preparamos entorno de firma <\/span>\nGNUPGHOME<\/span>=<\/span>$GNUPG_DIR<\/span>\nexport<\/span> GNUPGHOME\nPASSPHRASE<\/span>=<\/span>$(<\/span>cat $PASSPHRASE_FILE<\/span>)<\/span>\n\n# Esto deber\u00eda fallar (set -e) si no somos el propietario<\/span>\nchown \"<\/span>$USER<\/span>\"<\/span> \"<\/span>$GNUPGHOME<\/span>\"<\/span>\nchmod 0700<\/span> \"<\/span>$GNUPGHOME<\/span>\"<\/span>\n\n# Initialize GPG<\/span>\ngpg --help<\/span> 1<\/span>><\/span>\/dev\/null<\/span> 2<\/span>>&1<\/span> ||<\/span> true<\/span>\n\nrm -f<\/span> Release.<\/span>gpg.<\/span>tmp InRelease.<\/span>tmp\necho<\/span> \"<\/span>$PASSPHRASE<\/span>\"<\/span> |<\/span> gpg --no-tty --batch --passphrase-fd<\/span>=<\/span>0<\/span> --default-key \"<\/span>$KEYID<\/span>\"<\/span> --detach-sign -o<\/span> Release.<\/span>gpg.<\/span>tmp \"<\/span>$1<\/span>\"<\/span>\nmv Release.<\/span>gpg.<\/span>tmp Release.<\/span>gpg\necho<\/span> \"<\/span>$PASSPHRASE<\/span>\"<\/span> |<\/span> gpg --no-tty --batch --passphrase-fd<\/span>=<\/span>0<\/span> --default-key \"<\/span>$KEYID<\/span>\"<\/span> --clearsign -o<\/span> InRelease.<\/span>tmp \"<\/span>$1<\/span>\"<\/span>\nmv InRelease.<\/span>tmp InRelease\n<\/pre>\n
    \u00bf Y d\u00f3nde situar el script ? A mi se me ha ocurrido que el directorio de trabajo de mini-dinstall<\/em> ser\u00eda un buen lugar (\/var\/lib\/debian\/mini-dinstall<\/em>) y en realidad no veo inconveniente para ello, especialmente por lo que cuento en la siguiente secci\u00f3n.<\/p>\n
    Configurar mini-dinstall para la firma<\/h4>\n
    La variable release_signscript<\/strong> de la configuraci\u00f3n de mini-dinstall<\/em> contiene la ruta del script de firma y funciona de la siguiente manera:<\/p>\n
      \n
    1. El programa se ejecuta en el mismo directorio que el archivo Release<\/em>.<\/li>\n
    2. Se le pasa como primer par\u00e1metro la ruta de una copia temporal<\/strong> de dicho archivo.<\/li>\n
    3. Se espera de \u00e9l que realice la firma y cree un archivo Release.gpg<\/em> en el directorio en el que ha sido llamado.<\/li>\n<\/ol>\n
      Un detalle que me trae un poco de cabeza es que el programa mini-dinstall<\/em>, especialmente cuando funciona como demonio, lo hace bajo el usuario root<\/em>. No he visto forma de cambiarlo ni estoy seguro de si ser\u00eda conveniente hacerlo sin dispararse en el pi\u00e9. El caso es que cuando se ejecuta el programa de firma el usuario que lo lanza es el propio administrador y, por alguna raz\u00f3n, no es exactamente lo que queremos.<\/p>\n
      La soluci\u00f3n m\u00e1s inmediata ser\u00eda usar el programa su <\/em> y definirlo en la configuraci\u00f3n como:<\/p>\n
      release_signscript = su debpkg \/var\/lib\/debian\/mini-dinstall\/sign-release.sh<\/pre>\n
      Pero como la documentaci\u00f3n s\u00f3lo menciona un programa y no una l\u00ednea shell,<\/em> he mirado los fuentes y he comprobado que mini-dinstall<\/em> emplea la funci\u00f3n execlp<\/em> y no alg\u00fan tipo de system<\/em> o similar. Adem\u00e1s, como le pasa el archivo a firmar como primer par\u00e1metro no cabe (y no es aconsejable) incluirle m\u00e1s.<\/p>\n
      En su lugar es mejor emplear un programa envoltorio (wrapper) que realice toda la tarea, nos quitamos de l\u00edos y no nos cerramos la puerta a posteriores cambios en el mecanismo de firma.<\/p>\n
      As\u00ed que con el siguiente programa que muestro abajo y que vuelvo a situar en el directorio de trabajo de mini-dinstall<\/em> con el nombre sign-wrapper.sh<\/em> la configuraci\u00f3n de firma quedar\u00eda como:<\/p>\n
      release_signscript = \/var\/lib\/debian\/mini-dinstall\/sign-wrapper.sh<\/pre>\n
      Y el programa envoltorio de la siguiente forma:<\/p>\n
      #   Variables\nVERSION=0.2\nCONFIG=\/etc\/taquiones\/debian.conf\nROOT_DIR=\/var\/lib\/debian\nUSER=debpkg\n\nif [ -r $CONFIG ]; then\n    . $CONFIG\nfi\n\nREAL_SIGN=$ROOT_DIR\/mini-dinstall\/sign-release.sh\n\n#   Lanzamos el programa de firma con el usuario adecuado\nsu $USER --shell \/bin\/bash $REAL_SIGN $*<\/pre>\n
      He empleado el par\u00e1metro –shell<\/em> por pura precauci\u00f3n. El usuario debpkg<\/em> se declara como cuenta del sistema y suele ocurrir que me equivoque al crearlo y no tenga un shell<\/em> asignado.<\/p>\n
      Publicar la clave p\u00fablica (sic)<\/h4>\n
      Dado que es preceptivo emplear cifrado para utilizar correctamente el repositorio tenemos que hacer que la clave p\u00fablica sea de f\u00e1cil acceso. Creo que el mejor lugar, aqu\u00e9l que me gustar\u00eda encontrar de primeras cuando empleo el repositorio de otros, es la ra\u00edz de la p\u00e1gina web.<\/p>\n
      As\u00ed pues:<\/p>\n
        \n
      1. Obtenemos una versi\u00f3n ascii<\/em> de la clave p\u00fablica.<\/li>\n
      2. La situamos en el directorio ra\u00edz (\/var\/lib\/debian\/archive_key.asc<\/em>).<\/li>\n
      3. La anunciamos en la p\u00e1gina de inicio o alg\u00fan otro sitio.<\/li>\n
      4. Si queremos podemos enviarla a un servidor de claves como explica Daniel Leidert<\/a>, aunque en ese caso es aconsejable declarar el identificador de la clave y el servidor donde se aloja tambi\u00e9n en la p\u00e1gina web.<\/li>\n<\/ol>\n
        En el caso de mi servidor la clave est\u00e1 en http:\/\/debian.astillas.net\/astillas.key<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
        … en mi nuevo y flamante repositorio Debian.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[6],"tags":[167,159,158],"class_list":["post-99","post","type-post","status-publish","format-standard","hentry","category-debian","tag-apt","tag-gpg","tag-mini-dinstall"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/99","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=99"}],"version-history":[{"count":3,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/99\/revisions"}],"predecessor-version":[{"id":3220,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/99\/revisions\/3220"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=99"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=99"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=99"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}