🖇️ ♨️ 📣 PGPを使用してコードの整合性を保護します。パート1.基本的な概念とツール 🤳🏿 🌛 👩🏽‍🌾

パブリックリポジトリにアクセスするコードを作成すると、PGPが便利になる場合があります。本日最初に公開するこのシリーズの記事では、PGPを使用してソフトウェアコードの整合性を確保する方法について説明します。これらの資料は、主にフリーソフトウェア開発者を対象としていますが、ここで説明する原則は、開発者がプログラマーの分散チームによって実施されるあらゆる状況に適用できます。

ここでは、次のトピックについて説明します。

関連ソフトウェアを操作するためのPGPの基本と推奨事項。
GitでPGPを使用します。
開発者アカウントの保護。

材料の構造について

この一連の資料の各セクションは、2つの部分に分かれています。

特定のプロジェクトのニーズに適応できるチェックリスト。
チェックリストの要素の本質の説明、およびプログラムを操作するための指示。

チェックリスト機能

各チェックリストの要素には、特定のアイテムの優先度レベルに関する情報が含まれています。これが、提案された推奨事項の使用に関する意思決定に役立つことを願っています。

優先度が「重要」に割り当てられている要素には、特別な注意を払う必要があります。「重要な」ポイントからの推奨事項が実装されていない場合、これはプロジェクトに含まれるコードに関する問題のリスクが高いことを意味します。
推奨項目には、セキュリティの全体的なレベルを向上させるために実装するのに役立つ推奨事項が含まれています。それらの実装は、プログラマーと彼の作業環境との相互作用に影響を与える可能性があり、これには新しい習慣の習得または古い習慣の放棄が必要になる場合があります。

ここにリストされているリストはすべて推奨事項であることに注意してください。与えられた優先度レベルがセキュリティの観点からプロジェクトの詳細を反映していないと感じた場合、それらをあなたのニーズに適合させる必要があります。

基本的なPGPの概念とツール

▍チェックリスト

このセクションの資料を正常にマスターした後、ナビゲートする必要があるトピックは次のとおりです。

フリーソフトウェア開発におけるPGPの役割（重要）。
公開鍵暗号の基礎（重要）。
暗号化資料と署名資料の違い（重要）。
PGPキーID（重要）。
PGPキーの有効性（重要）。
GnuPGユーティリティのインストール（バージョン2.x）（重要）。

説明

オープンソースコミュニティは、ソフトウェア製品の信頼性と整合性を確保するために、長い間PGPに依存してきました。これに気付いていないかもしれませんが、Linux、Mac、Windowsのいずれを実行していても、すでにPGPを使用してコンピューティング環境の整合性を確保しています。

LinuxディストリビューションはPGPを使用して、バイナリパッケージまたはソースパッケージが作成されてからエンドユーザーによってインストールされるまで変更されないようにします。
通常、フリーソフトウェアプロジェクトは、リリースされたソフトウェアアーカイブ用に個別のPGP署名を提供するため、それらに依存するプロジェクトは、ダウンロードしたリリースの整合性を検証してから、独自のディストリビューションに統合できます。
通常、フリーソフトウェアプロジェクトは、オリジンを追跡し、開発者によって提供されたコードの整合性を確保するために、コード自体のPGP署名に依存しています。

これは、クローズドソースプラットフォームで作業するプログラマが使用する開発者証明書とコード署名のメカニズムに非常に似ています。実際、これら2つの技術の基礎となる基本的な概念はほとんど同じです。それらは、主に実装の技術的な詳細と、信頼を委任する方法が異なります。 PGPは中央集中型の認証サービスに依存せず、代わりにこのシステムにより、ユーザーは各証明書に信頼レベルを個別に割り当てることができます。

私たちの目標は、プロジェクトに入るコードの起源を制御し、PGPでその整合性を追跡できるようにすることです。これは、PGPを使用し、基本的な安全規則を学習するための推奨事項に従うことで実行できます。

PG PGPパフォーマンスの概要

PGPの動作に関する詳細をすべて知る必要はありません。この技術をうまく使用するには、その基本概念を理解するだけで十分です。 PGPは公開鍵暗号を使用します。たとえば、暗号化方式を使用すると、プレーンテキストを暗号化されたテキストに変換できます。このプロセスには2つの異なるキーが必要です。

誰もが知っている公開鍵。
所有者のみが知っている秘密鍵。

▍暗号化

暗号化のために、PGPは暗号化された素材が意図されている人の公開鍵を使用します。暗号化中に、メッセージ受信者に属する対応する秘密キーを使用してのみ解読できるメッセージが作成されます。

暗号化プロセスは次のようになります。

送信者は、ランダムな暗号化キー（セッションキー）を作成します。
送信者は、このセッションキーを使用して（対称暗号を使用して）メッセージの内容を暗号化します。
送信者は、受信者のPGP公開キーを使用してセッションキーを暗号化します。
送信者は、暗号化されたデータと暗号化されたセッションキーを受信者に送信します。

暗号化されたメッセージを解読するには、次のアクションが実行されます。

受信者は、PGP秘密鍵を使用してセッションキーを復号化します。
受信者はセッションキーを使用して、メッセージの内容を解読します。

▍署名

データに署名するには、PGP公開鍵と秘密鍵が反対の方法で使用されます。

署名者は、いくつかのデータのチェックサムハッシュを生成します。
署名者は独自の秘密鍵を使用して、このチェックサムを暗号化します。
署名者は、データとともに暗号化されたチェックサムを提供します。

署名を検証するには、次の手順を実行します。

検証者は、独自のデータのチェックサムを生成します。
検証者は署名者の公開鍵を使用して、提供されたチェックサムを解読します。
チェックサムが一致する場合、コンテンツの整合性が確認されます。

encryption暗号化と署名の共有使用

多くの場合、暗号化されたメッセージも送信者自身のPGPキーを使用して署名されます。認証なしの暗号化はあまり意味がないので、暗号化されたメッセージを交換するときは常にこのアプローチを使用する必要があります（おそらく、このようなことの匿名性は、秘密エージェントや公開情報を公開する人にのみ必要です）。

キーの識別

各PGPキーは、キー所有者のIDに関連付ける必要があります。これは通常、次の形式の個人のフルネームとメールアドレスです。

Alice Engineer <alice.engineer@example.com>

資格情報には、特定のキーの詳細をエンドユーザーに知らせるためのコメントが括弧内に含まれている場合があります。

 Bob Designer (obsolete 1024-bit key) <bob.designer@example.com>

キーを所有する人は、多くの職業的および個人的な役割を演じることができるため、同じキーに複数の識別データセットが存在する可能性があります。

 Alice Engineer <alice.engineer@example.com> Alice Engineer <aengineer@personalmail.example.org> Alice Engineer <webmaster@girlswhocode.example.net>

資格情報の複数のセットが使用される場合、キー検索を簡素化するために、そのうちの1つがプライマリとしてマークされます。

▍キー認証

暗号化または検証に他の誰かの公開鍵を使用できるようにするには、それが実際にこの人物（この場合はアリス）に属し、詐欺師（詐欺師をイブと呼ぶ）ではないことを確認する必要があります。 PGPでは、これはキーの有効性と呼ばれます。

キーの完全な有効性は、キーがアリスに属するという非常に高いレベルの確実性があることを意味します。
キーの境界有効性は、キーがアリスに属していることをある程度確信していることを意味します。
キーの未知の真正性は、このキーがアリスに属しているという確信がまったくないことを意味します。

trust信頼のネットワークと「初回使用時の信頼」のメカニズム

PGPには、Web of Trust（WOT）として知られる信頼委任メカニズムが含まれています。本質的には、HTTPS / TLSで使用されるような集中化された認証サービスの必要性を置き換える試みです。このアプローチでは、ユーザーは独立して誰を信頼するかを決定します。

残念ながら、信頼ネットワークがどのように機能するかを理解している人は非常に少なく、この技術を気にする人はさらに少ない。信頼ネットワークは引き続きOpenPGP仕様の重要な側面ですが、GnuPG（2.2以降）の既存のバージョンは、最初の使用時の信頼（TOFU）メカニズムに代表される代替アプローチを実装しています。

TOFUはSSHと比較できます。初めてSSHを使用してリモートシステムに接続すると、システムはそのキーのフィンガープリントを記憶します。キーが変更されると、SSHクライアントはこれを通知して接続を拒否し、変更されたキーを信頼するかどうかの決定を求めるプロンプトを表示します。

TOFUメカニズムも同様に機能します。誰かのPGPキーを初めてインポートすると、信頼できると見なされます。その後、GnuPGが同じ資格情報を持つ新しいキーに遭遇すると、両方のキーが無効としてマークされ、どちらを保持するかを自分で決定する必要があります。

このガイドでは、TOFU信頼モデルを使用します。

▍用語について

ここで、PGP、OpenPGP、GnuPG、gpgなどの用語の違いを理解することの重要性に注目します。

PGP（Pretty Good Privacy）は、1991年にリリースされた商用プログラムの名前です。
OpenPGPは、PGPと互換性のあるIETF標準です。
GnuPG（Gnu Privacy Guard）は、OpenPGP標準を実装するフリーソフトウェアです。
GnuPGのコマンドラインツールはgpgと呼ばれます。

今日、PGPという用語は、プログラムの名前としてではなく、「OpenPGP標準」の意味でほぼ普遍的に使用されているため、PGPとOpenPGPは互換的に使用されます。 GnuPGおよびgpgという用語は、特定のツールを意味する場合にのみ使用する必要があり、標準や他の概念とは関係ありません。例：

PGPキー（GnuPGまたはGPGではない）
PGP署名（GnuPGまたはGPGではない）
PGPキーサーバー（GnuPGまたはGPGではない）

これらの違いを理解すると、他のPGPユーザーとのコミュニケーションに役立ちます。

GGnuPGのインストール

Linuxを使用している場合、GnuPGソフトウェアがすでにシステムにインストールされていることを意味します。 Macでは、 GPG-Suiteをインストールするか、 brew install gnupg2使用する必要があります。 Windowsユーザーの場合、 GPG4Winが機能します。おそらく、このガイドのいくつかのコマンドを変更する必要があります。 Windows Unixのような環境を使用している場合、コマンドを変更する必要はありません。他のプラットフォームを使用する場合は、GnuPGの適切な実装を自分で選択する必要があります。

nuGnuPGバージョン1および2

GnuPG v.1とGnuPG v.2はどちらも同じ標準を実装していますが、互換性のないライブラリとコマンドラインツールを提供しているため、多くのディストリビューションには古いバージョン1と新しいバージョン2の両方が付属しています。常にGnuPG v.2を使用していること。

開始するには、 gpgという名前でシステムに隠れているGnuPGのバージョンを確認するには、次のコマンドを実行します。

 $ gpg --version | head -n1

gpg (GnuPG) 1.4.xようなものが表示される場合、これはgpgコマンドでgnuPG v.1が呼び出されることを意味します。この場合、 gpg2コマンドを試してください。

 $ gpg2 --version | head -n1

gpg (GnuPG) 2.xxようなものが表示された場合、すべてが正常です。ここでは、GnuPG 2.2以降のバージョンがあることを前提としています。バージョンGnuPG 2.0を使用している場合、ここで提供されるコマンドの一部は機能しないため、GnuPGの最新バージョン2.2のインストールを検討する必要があります。

GGnuPG v.2のエイリアス

システムにgpgコマンドとgpg2コマンドの両方がある場合、古いバージョンのソフトウェアではなく、 gpgコマンドgpg GnuPG v.2をgpgようにすべてを構成するとよいでしょう。これを行うには、エイリアスを作成します。

 $ alias gpg=gpg2

このコマンドは、GnuPG v.2プログラムがgpgコマンドに応答するように、 .bashrcに配置できます。

まとめ

ここでは、コード保護でPGPを正常に使用するために必要なPGPの基本について説明しました。次回は、PGPキーの作成と保護について説明します。

親愛なる読者！ ソフトウェアプロジェクトのコードを保護するためにPGPを使用していますか？

PGPを使用してコードの整合性を保護します。 パート1.基本的な概念とツール