Piwik リリース パッケージの署名を確認する方法
現在、PiwikプロジェクトがいくつかのコミュニティメンバーからPGP後続要求を使ってPiwikリリースに暗号でサインする方法を発表します。この記事であなたのダウンロード、Windows、Mac OS X と Linux のための指示 Piwik リリースの署名を確認する方法を説明いたします。
署名とは何ですか、そして、なぜそれをチェックするべきなのですか?
あなたは、どうやって使用しているPiwikプラットフォームが、本当に私達が作ったものであると知るのでしょうか?ユーザーはエラーなしでファイルをダウンロードしたことを確認できるように一部のソフトウェアサイトリストSHA1は、彼らのウェブサイト上のソフトウェアと一緒にハッシュします。これら”チェックサム”は「誰がこのダウンロードファイルを正しく私に送ったか?」の質問に答えることができます。それらはあなたのダウンロードにランダムなエラーがないことを確認するためにとても便利ですが、侵害されたサーバからダウンロードされていたかどうかまでは確認できません。そのための良い質問は「このファイルは私が今ダウンロードしたファイルは、私が意図したPiwikですか?」です。年間でいくつかのPiwikのユーザーが我々のリリースに署名開始することを要求しました。
署名とそれらを作った鍵はどこですか?
私たちのリリースサーバーbuilds.piwik.org上の各ファイルは、パッケージと拡張子.ascのと同じ名前のファイルが付属しています。これら .asc ファイルは GPG 署名です。これらはダウンロードしたファイルを我々が取得することを意図していることを確認することができます。例えば、piwik-2.9.0.zipはPiwik-2.9.0.zip.ascを伴っています。
現在のMatthieu Aubryは、リリースマネージャであるとPiwikのリリースに署名します。彼の署名はここで見ることができます:builds.piwik.org/signature.asc
Windows上の署名を検証する方法
署名を検証するには、GnuPGがインストールされている必要があります。http://gpg4win.org/download.htmlからダウンロードしてください
インストール後は、GnuPG を使用してパッケージに署名したキーをインポートします。GnuPG の Windows コマンド ライン ツールは、cmd.exe を使用する必要があります。PATH 環境変数を編集しない場合は、GnuPG プログラムへの完全パスを Windows に指示する必要があります。もしデフォルト値によってGnuPGをインストールするならば、パスはこのようになります:C:\Program Files\Gnu\GnuPg\gpg.exe。
Cmd.exe を開始し、Piwik リリース マネージャー Matthieu キー (0x416F061063FEE659) を入力してインポートします:
"C:\Program Files\Gnu\GnuPg\gpg.exe" --keyserver keys.gnupg.net --recv-keys 814E346FA01A20DBB04B6807B5DBD5925590A237
キーをインポートした後、指紋が正しいことを確認できます:
"C:\Program Files\Gnu\GnuPg\gpg.exe" --fingerprint 814E346FA01A20DBB04B6807B5DBD5925590A237
参照:
pub 4096R/5590A237 2013-07-24
Key fingerprint = 814E 346F A01A 20DB B04B 6807 B5DB D592 5590 A237
uid Matthieu Aubry <matt@piwik.org>
uid Matthieu Aubry <matthieu.aubry@gmail.com>
uid Matthieu Aubry <matt@piwik.pro>
sub 4096R/43F0D330 2013-07-24
ダウンロードしたパッケージの署名を確認し、同様に”.asc”ファイルをダウンロードする必要があります。パッケージとその署名をあなたのDesktopにダウンロードしたと仮定して、稼働してください:
"C:\Program Files\Gnu\GnuPg\gpg.exe" --verify C:\Users\Alice\Desktop\piwik-2.9.0.zip.asc C:\Users\Alice\Desktop\piwik-2.9.0.zip The output should say "Good signature": gpg: Signature made Thu 13 Nov 2014 17:42:18 NZDT using RSA key ID 5590A237 gpg: Good signature from "Matthieu Aubry <matt@piwik.org>" gpg: aka "Matthieu Aubry <matthieu.aubry@gmail.com>" gpg: aka "Matthieu Aubry <matt@piwik.pro>"
この人に信頼インデックスを与えていない場合には、警告がある可能性がありますので注意してください。これは、GnuPGが、キーがそのサインを作ることを確認したのを意味していますが、そのキーが開発者に本当に付属しているかどうかを決めることは、あなたに任せられます。最もよい方法は、自分で開発者と会い、認証キーを交換することです。
Mac OS X と Linux
LinuxのGnuPG上で、通常はデフォルトでインストールされます。 Mac OS Xでは、署名を検証する前に、GnuPGがインストールされている必要があります。http://www.gpgtools.org/.からインストールしてください。
インストール後は、GnuPG を使用してパッケージに署名したキーをインポートします。Matthieu Aubryが Piwik リリースに署名します。彼のキー (814E346FA01A20DBB04B6807B5DBD5925590A237) (「アプリケーション」下で)を入力し、ターミナルを起動してインポートします:
gpg --keyserver keys.gnupg.net --recv-keys 814E346FA01A20DBB04B6807B5DBD5925590A237
キーをインポートした後、指紋が正しいことを確認できます:
gpg --fingerprint 814E346FA01A20DBB04B6807B5DBD5925590A237
参照してください
pub 4096R/5590A237 2013-07-24
Key fingerprint = 814E 346F A01A 20DB B04B 6807 B5DB D592 5590 A237
uid Matthieu Aubry <matt@piwik.org>
uid Matthieu Aubry <matthieu.aubry@gmail.com>
uid Matthieu Aubry <matt@piwik.pro>
sub 4096R/43F0D330 2013-07-24
ダウンロードしたパッケージのサインを確認するために、「.asc」ファイルをダウンロードする必要があります。デスクトップにパッケージとその署名をダウンロードしたと仮定して、実行します:
gpg --verify /Users/Alice/piwik-2.9.0.zip{.asc*,}
出力は「Good signature」を示すはずです:
gpg: Signature made Thu 13 Nov 2014 17:42:18 NZDT using RSA key ID 5590A237 gpg: Good signature from "Matthieu Aubry <matt@piwik.org>" gpg: aka "Matthieu Aubry <matthieu.aubry@gmail.com>" gpg: aka "Matthieu Aubry <matt@piwik.pro>"
この人に信頼インデックスを与えていない場合には、警告がある可能性がありますので注意してください。これは、GnuPGが、キーがその署名をしたことを確かめたことを意味しますが、そのキーが本当に開発者のものであるかどうか決めるのは、あなた次第です。最もよい方法は、自分で開発者と会い、認証キーを交換することです。
これで完了!この記事では、あなたのコンピュータにダウンロードしたパッケージpiwikが piwikチームによって正式に作成されていることを検証する方法を学びました。これで、より多くのセキュリティを備えたPiwikを使用するのを助けることを願っています。
ソース:この記事は素晴らしいTorブラウザプロジェクトのWebサイトページの「Torパッケージの署名を確認する方法」からコピーされ、適合させました。
Piwikコアチーム
Piwikは、世界中で100万人以上のウェブサイトで使用され、53の言語に翻訳されています。
Marketplaceでは、ウェブ解析の世界でイノベーションを創出するためのコミュニティを可能にします。