Подписване на пакети - Debian keyring

GPG/PGP ключовете на debian maintainers можете да получите по следните начини:

• keyring.debian.org, на този хост има и rsync сървър, module keyring
• http://ftp.debian.org/debian/doc/debian-keyring.tar.gz
• пакета debian-keyring
• finger maintainer@db.debian.org

Debian source packages - подписване на сорса

Ако свалите някой debian source package чрез apt-get source пакет, то ще забележите, че в един от файловете, .dsc, се намира и подписът на съответния debian maintainer. Например:

-----BEGIN PGP SIGNED MESSAGE-----

Format: 1.0
Source: sysvinit
Version: 2.84-3
Binary: sysvinit
Maintainer: Miquel van Smoorenburg <miquels@cistron.nl>
Architecture: any
Standards-Version: 3.5.2.0
Files: 
 57f11fc13458d8a59894df099449ddbe 91130 sysvinit_2.84.orig.tar.gz
 4b90729bfad0c576e8e46250efb65e4d 42387 sysvinit_2.84-3.diff.gz

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iQB1AwUBPPNh6FiLscT2F1RZAQGw7QMAk0nUPS/Hsx6V5XD7Cjk54R9C8jvWPRkB
yxs7/GOpnUWPW9ND517mtnW7E0ZAOcZb0oj50wW5PS0ylRIuQui1IaNv0comzoRv
TACbvUv99j9eAcRTs+qYjnuX8MKTIVO7
=uKkZ
-----END PGP SIGNATURE-----

Можете да проверите сигнатурата чрез dscverify(1), което се намира в пакета devscripts.

Debian binary packages (deb's) - per-deb подписване

http://dpkg-sig.turmzimmer.net - индивидуално подписване.

Debian Release.gpg files - per-Archive подписване

http://monk.debian.net/apt-secure/ - групово подписване.

FIXME: да се обясни повече за Debian keyring, като подписване на пакетите и проверка и ползването от maintainer's на debsigs. FIXME: някой ползвал ли е http://people.debian.org/~ajt/apt-check-sigs?