ソフトウェアパッケージのデジタル署名の確認

署名がまだインストールされていない場合は、署名を確認するクライアントコンピュータに GnuPG をインストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。

GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。

1. エージェントのZIPファイルのルートフォルダにある 3trend_public.asc ファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。エージェントZIPで 3trend_public.asc ファイルが見つからない場合は、Deep Security Agent 11.0 Update 18以降のアップデートを使用する必要があります。
2. (オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。 

   c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7

3. シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。

   コマンドでは大文字と小文字が区別されます。

   gpg --import 3trend_public.asc

   次のメッセージが表示されます。

   gpg: directory `/home/build/.gnupg' created

   gpg: new configuration file `/home/build/.gnupg/gpg.conf' created

   gpg: WARNING: options in `/home/build/.gnupg/gpg.conf' are not yet active during this run

   gpg: keyring `/home/build/.gnupg/secring.gpg' created

   gpg: keyring `/home/build/.gnupg/pubring.gpg' created

   gpg: /home/build/.gnupg/trustdb.gpg: trustdb created

   gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported

   gpg: Total number processed: 1

   gpg: imported: 1 (RSA: 1)

4. GPGパブリック署名キーをASCファイルからエクスポートします。

   gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign

5. GPGパブリック署名鍵をRPMデータベースにインポートします。

   sudo rpm --import RPM-GPG-KEY-CodeSign

6. GPGパブリック署名キーがインポートされたことを確認します。

   rpm -qa gpg-pubkey*

7. インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロの鍵を次に示します。

   gpg-pubkey-e1051cbd-5b59ac99

   署名鍵がインポートされ、エージェントRPMファイルのデジタル署名のチェックに使用できます。

RPMファイルの署名を手動で確認するのではなく、次に説明するように、配信スクリプトで署名を確認することもできます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

次のコマンドを使用します。

rpm -K Agent-PGPCore-<OS agent version>.rpm

例:

rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm

Agent-PGPCore-<...>.rpm ファイルに対して上記のコマンドを実行してください。（それを Agent-Core-<...>.rpm で実行しても、 では .)は動作しません。

署名の検証に成功すると、次のメッセージが表示されます。

Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

あなたはそれが既にインストールされていない場合は、署名をチェックするつもりエージェント上でのdpkg-SIGをインストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。

1. エージェントのZIPファイルのルートフォルダにある 3trend_public.asc ファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。エージェントZIPで 3trend_public.asc ファイルが見つからない場合は、Deep Security Agent 11.0 Update 18以降のアップデートを使用する必要があります。
2. (オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。 

   c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7

3. 署名を確認するクライアントコンピュータで、ASCファイルをGPGキーリングにインポートします。次のコマンドを使用します。

   gpg --import 3trend_public.asc

   次のメッセージが表示されます。

   gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported

   gpg: Total number processed: 1

   gpg: imported: 1 (RSA: 1)

4. （オプション）Trend Micro Key情報を表示します。次のコマンドを使用します。

   gpg --list-keys

   次のようなメッセージが表示されます。

   /home/user01/.gnupg/pubring.gpg

   -------------------------------

   パブ2048R/E1051CBD 2018-07-26 [expires：2021-07-25]

   uidトレンドマイクロ（トレンドマイクロのサイン）<alloftrendetscodesign@trendmicro.com>

   サブ2048R/202C302E 2018-07-26 [expires：2021-07-25]

以下で説明するように、手動でDEBファイルの署名を検証する代わりに、配置スクリプトで署名を検証することもできます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

次のコマンドを入力します。

dpkg-sig --verify <agent_deb_file>

<agent_deb_file> はエージェントのDEBファイルの名前とパスです。たとえば、次のとおりです。

dpkg-sig --verify Agent-Core-Ubuntu_16.04-11.0.0-1075.x86_64.deb

処理メッセージが表示されます。

Processing Agent-Core-Ubuntu_16.04-11.0.0-1075.x86_64.deb...

署名が正常に確認されると、次のメッセージが表示されます。

GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778