Open2

minisign

Shunsuke SuzukiShunsuke Suzuki

https://github.com/jedisct1/minisign

https://github.com/aquaproj/aqua/pull/2994

  • キーペアを生成
  • 検証

検証には以下が必要

  • 検証対象のファイル
  • 公開鍵
  • 署名
minisign -Vm myfile.txt -P RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3

または

minisign -Vm myfile.txt -p signature.pub

署名 *.minisig が同じディレクトリにないといけない

https://github.com/aquaproj/aqua/blob/f3a1008406b59b107fab30198156bb75c3fb68f0/pkg/minisign/exec.go#L69-L76

あるいは -x option でパスを指定できる

-x <sigfile>      signature file (default: <file>.minisig)
Shunsuke SuzukiShunsuke Suzuki

ここで検証に必要な 3 つのファイルがすべて改竄可能であれば検証の意味がない。
そのため、 GitHub Releases でこれら 3 つが配布されていたとして、それらをインストール時にダウンロードして検証してもあまり意味がない。
例えば公開鍵を全部の Release で共通のものを使うようにして改竄出来ないようにし、残りの 2 つをリリースするようにすれば、仮に 2 つが改竄されたとしても署名の検証で失敗するはず