apt ではなく dpkg を直接インストールするとき、 http://security-cdn.debian.org/ 等から直接 dpkg をダウンロードする。
HTTPで取得した dpkg が改ざんされていないか気になったので自前で検証してみた。
具体的な構造は以下が詳しい。
GPG Key をインポート・信頼
$ sudo apt-key list # 今 apt で使っている key を見る。ここにあるものは信頼できるだろう。(一応 fingerprint を見て確認しても良いかも) $ gpg --import /etc/apt/trusted.gpg.d/~.gpg $ gpg --edit-key <key id> # import したものを ultimately trust する
Release ファイルの検証
いくつかの key で署名されていたので、複数 import して確認した。
$ gpg --verify Release.gpg Release
Packages のハッシュ確認
Release の中に Packages ファイルのハッシュが記載されているので、あってるか確認する。
deb のハッシュ確認
Packages の中に deb ファイルのハッシュが記載されているので、あってるか確認する。
ここまででエラーがなければ deb ファイルが検証された、と思う(多分!!
