管理包签名密钥的最佳方法是什么?

信息安全 加密 密钥管理 pgp
2021-08-27 12:20:30

我正在研究一种方法来保护我们的软件包,并在从我们的开发团队转移到 Q+A 并最终部署到部署时对其进行问责。

我最初创建了一个签名框,我们的开发人员可以登录并使用他们的 GnuPG 创建的密钥对 rpm 进行签名。然后,他们将签名的包移动到“发件箱”目录以供 QA 提取,并将密钥的公共部分移动到“公钥”目录。然而,这并不理想,因为每个用户可以制作多个(假)公钥......

最终目标是强制每个完成的包由单个开发人员签署,以确保在包转移到我们的运营平台时的问责制和完整性。

因此,我有几个方面需要帮助/建议:

  • 确保每个用户只制作一个密钥的最佳方法是什么?(可能是脚本?)
  • 存储和检索这些确保完整性的密钥的最佳方式是什么?

非常感谢。

1个回答

您不能阻止任何人创建新的密钥对。但是您可以维护一个“允许的密钥对”列表,其中每个开发人员只插入一个密钥对,并且每当您验证签名的 rpm 时,您都使用该列表作为您的信任基础。

其它你可能感兴趣的问题
上一篇Linux 的进程身份验证 下一篇Sulley - 可选元素和命令检查