Verifique artefatos do Arch Linux usando VOA/OpenPGP

Na recente postagem do blog sobre o trabalho financiado pelo Sovereign Tech Fund (STF), fornecemos uma visão geral do “Hierarquia de arquivos para o Verificação de ÓS UMartefatos” (VOA) e o projeto voa como sua implementação de referência.

VOA é uma estrutura genérica para verificar qualquer tipo de artefato de distribuição (ou seja, arquivos) usando tecnologias arbitrárias de verificação de assinatura.

O voa CLI ⌨️

O projeto voa oferece o voa(1) interface de linha de comando (CLI) que faz uso do voa(5) formato de arquivo de configuração para back-ends de tecnologia. Recomenda-se a leitura das respectivas páginas de manual para obter uma visão geral.

As seções a seguir assumem um sistema Arch Linux, com o voa-verificadores-arch e vai pacotes instalados.

Nos demais sistemas é possível baixar o artefato “voa-verifiers-arch” do última versão do archlinux-keyring e colocar seu conteúdo em um dos locais relevantes Caminhos de carregamento VOA. Depois, siga o instruções de instalação para o voa(1) CLI.

Usando VOA com a tecnologia OpenPGP 🤝

Neste artigo vamos nos concentrar no uso de VOA com o backend da tecnologia OpenPGP para verificação de assinatura. Este back-end está disponível como parte da implementação de referência do VOA no projeto voa.

Os conceitos gerais em VOA são compartilhados entre todos os back-ends de tecnologia. No entanto, alguns recursos e detalhes diferem dependendo da tecnologia.

Começaremos examinando algumas interações comuns com VOA:

• Verificando as assinaturas de um pacote Arch Linux e meio de instalação.
• Inspecionando a configuração de verificação.
• Inspecionando verificadores.
• Importando verificadores adicionais.

Como exemplo de uso avançado, analisaremos a configuração de um aplicativo personalizado VOA contexto para um repositório de pacotes não oficial, com uma configuração de política separada.

Além disso, daremos uma breve olhada em uma maneira de verificar todos os arquivos oficiais do pacote Arch Linux para teste em um ambiente de desenvolvimento.

Por fim, forneceremos uma breve visão geral do estado de outros back-ends de tecnologia.

Verificando assinaturas 🔏

O voa-verify(1) O comando pode ser usado para verificar um artefato em relação a uma assinatura. Arch Linux depende de um arquivo de configuração para o backend da tecnologia OpenPGP (veja arco.yaml) para impor sua própria política de verificação.

Com base nesta configuração, um único arquivo de pacote pode ser verificado em relação ao arquivo desanexado correspondente. Assinatura de dados OpenPGP usando:

voa verify arch package default openpgp /var/cache/pacman/pkg/systemd-259-1-x86_64.pkg.tar.zst{,.sig}
✅ /var/cache/pacman/pkg/systemd-259-1-x86_64.pkg.tar.zst.sig 1766039593 02fd1c7a934e614545849f19a6234074498e9cee 0429897de5f3bdac537a30696d42bdd116e0068f

As listas de saída:

Da mesma forma, o meio de instalação mensal pode ser verificado, com base nos verificadores designados:

voa verify arch image installation-medium openpgp archlinux-2026.01.01-x86_64.iso{,.sig}
✅ archlinux-2026.01.01-x86_64.iso.sig 1767267369 3e80ca1a8b89f69cba57d98a76a5ef9054449a5c 3e80ca1a8b89f69cba57d98a76a5ef9054449a5c

Inspecionando a configuração dos back-ends da tecnologia VOA 📄

Nos exemplos de verificação acima, o voa-verify(1) O comando dependia implicitamente de duas entradas:

• UM voa(5) arquivo de configuração, que especifica quais regras exatas a tecnologia OpenPGP deve impor no contexto da distribuição Arch Linux.
• Um conjunto de Certificados OpenPGP que são usados ​​para determinar se as assinaturas são válidas.

Nesta seção veremos o primeiro ponto: A configuração que fica ativa na verificação de assinaturas com VOA em um determinado contexto.

Como um modelo uniforme voltado para o usuário para essas configurações, o projeto voa inclui o voa(5) formato de arquivo de configuração, que define exatamente como é feita a verificação com backends de tecnologia.

Uma tecnologia de back-end como OpenPGP pode oferecer uma variedade de abordagens diferentes para verificação de pacotes, como:

• São exigidas identidades específicas em verificadores válidos?
• Espera-se que as âncoras de confiança autentiquem os verificadores de artefatos?

Arch Linux usa o seguinte arquivo de configuração em /usr/share/voa/arch.yamlque descreve a política que o VOA usa para verificação de assinatura de artefatos do Arch Linux:

default_technology_settings:
  openpgp:
    num_data_signatures: 1
    verification_method:
      trust_anchor:
        required_certifications: 3
        artifact_verifier_identity_domain_matches:
          - archlinux.org
        trust_anchor_fingerprint_matches:
          # Levente Polyak (Arch Linux Master Key) 
          - d8afdda07a5b6edfa7d8ccdad6d055f927843f1c
          # Leonidas Spyropoulos (Arch Linux Master Key) 
          - 3572fa2a1b067f22c58af155f8b821b42a6fdcd7
          # Johannes Löthberg (Arch Linux Master Key) 
          - 69e6471e3ae065297529832e6ba0f5a2037f4f41
          # David Runge (Arch Linux Master Key) 
          - 2ac0a42efb0b5cbc7a0402ed4dc95b6d7be9892e
          # Florian Pritz (Arch Linux Master Key) 
          - 91ffe0700e80619ceb73235ca88e23e377514e00

O voa-config(1) O comando permite a introspecção da configuração em um determinado contexto. O comando retorna uma explicação da política ativa:

voa config show arch
OpenPGP settings

🔏 Each artifact requires 1 valid data signature(s) from artifact verifiers to be successfully verified.

✅ Each artifact is verified using the "trust anchor" verification method.

📧 A valid certificate must have a valid User ID that uses one of the following domains and has 3 certification(s) from individual trust anchors on it for the certificate to be considered as artifact verifier:
⤷ archlinux.org

🐾 A valid certificate must match one of the following OpenPGP fingerprints to be considered as trust anchor:
⤷ 2ac0a42efb0b5cbc7a0402ed4dc95b6d7be9892e
⤷ 3572fa2a1b067f22c58af155f8b821b42a6fdcd7
⤷ 69e6471e3ae065297529832e6ba0f5a2037f4f41
⤷ 91ffe0700e80619ceb73235ca88e23e377514e00
⤷ d8afdda07a5b6edfa7d8ccdad6d055f927843f1c

📝 The following sources have been considered for the creation of the settings:
⤷ Config file: /usr/share/voa/arch.yaml
⤷ Built-in defaults

Também pode ser usado para listar as origens de todas as configurações disponíveis para um usuário:

voa config list
🖥 arch
⤷ Config file: /usr/share/voa/arch.yaml
⤷ Built-in defaults
🖥 example
⤷ Config file: /home/user/.config/voa/example.yaml
⤷ Built-in defaults

Verificadores de listagem 👁️‍🗨️

VOA especifica uma estrutura de diretório hierárquica. Para cada tipo de artefato, um subconjunto específico dessa estrutura fornece um conjunto de “verificadores” que devem ser usados ​​para verificação do artefato.

Os verificadores podem residir em vários carregar caminhos no sistema. Para visualizar uma lista de verificadores em um contexto específico, use voa-list(1).

Por exemplo, para mostrar os caminhos de todos os verificadores considerados para verificação de pacotes em um sistema operacional chamado “test”, use:

voa list test package

Para fazer o mesmo para a distribuição Arch Linux, use:

voa list arch package

Para mostrar os caminhos de todas as âncoras de confiança consideradas para autenticar verificadores a serem usados ​​para verificação de assinatura de pacotes Arch Linux, use:

voa list arch trust-anchor-package

Importando certificados como verificadores ↩️

Usando voa-import(1) é possível importar um Certificado OpenPGP no local apropriado em uma hierarquia VOA, para uso como verificador.

Observe que, com base na precedência do Caminhos de carregamento VOAé possível importar versões de um arquivo existente Certificado OpenPGP em diferentes locais do sistema de arquivos. O conteúdo de tais variantes geralmente será mesclado em tempo de execução pelo backend VOA OpenPGP.

Aqui, o voa-openpgp crate suporta a importação de certificados em diferentes formatos:

Cada um dos exemplos a seguir importa um Certificado OpenPGP como verificador de arquivos de pacote em um sistema operacional denominado “teste” para o caminho de carregamento do tempo de execução do usuário atual.

Importando um único certificado 🔐

Supondo que alice.cert é um arquivo que contém um Certificado OpenPGPpodemos importá-lo, por exemplo, como um verificador de arquivos de pacote em qualquer repositório:

voa import --runtime --input alice.cert --context default test package

Importando um certificado dividido 🔐

Os certificados podem ser divididos em arquivos individuais que contêm Pacotes OpenPGParmazenados coletivamente em um diretório. Aqui, assumimos que o diretório alice/ contém os arquivos divididos.

ls alice/
alice.cert-000000-PublicKey alice.cert-000001-UserId  alice.cert-000002-Signature
voa import --runtime --input alice/ --context default test package

Importando um certificado da estrutura archlinux-keyring 🔐

O chaveiro archlinux projeto optou por organizar o Pacotes OpenPGP de cada rastreado Certificado OpenPGP em uma estrutura de diretório específica.

Após clonar o repositório, é possível importar diretamente os pacotes de um Certificado OpenPGP dessas estruturas de diretório, por exemplo:

git clone https://gitlab.archlinux.org/archlinux/archlinux-keyring/
cd archlinux-keyring/
voa import --runtime --input keyring/packager/dvzrv/991F6E3F0765CF6295888586139B09DA5BF0D338/ --context default test package

Configurando um contexto de verificação personalizado ✨️

No exemplo a seguir, adicionaremos uma substituição voa(5) arquivo de configuração e um adicional Certificado OpenPGP para o VOA hierarquia. Essas adições definirão uma política funcional de verificação de assinatura para um repositório não oficial no Arch Linux.

Aqui, definiremos uma política para um repositório de pacotes personalizado denominado “my-repo”. Especificamos um “contexto” para este repositório, no qual substituímos o padrão do Arch Linux voa(5) configuração.

Armazenando a seguinte configuração como /etc/voa/arch.yaml.d/10-my-repo.yaml fornecemos uma substituição específica para este repositório de pacotes não oficial:

contexts:
  - purpose: package
    context: my-repo
    technology_settings:
      openpgp:
        num_data_signatures: 1
        verification_method:
          plain:
            identity_domain_matches:
              - example.org
            fingerprint_matches:
              - f1d2d2f924e986ac86fdf7b36c94bcdf32beec15

Podemos inspecionar esta política com voa-config(1)e veja como ele difere daquele usado pelo Arch Linux:

voa config show --purpose package --context my-repo arch
OpenPGP settings

🔏 Each artifact requires 1 valid data signature(s) from artifact verifiers to be successfully verified.

✅ Each artifact is verified using the "plain" verification method.

📧 A valid certificate must have a valid User ID that uses one of the following domains to be considered as artifact verifier:
⤷ example.org

🐾 A certificate must match one of the following OpenPGP fingerprints to be considered as artifact verifier:
⤷ f1d2d2f924e986ac86fdf7b36c94bcdf32beec15

📝 The following sources have been considered for the creation of the settings:
⤷ Drop-in config file: /etc/voa/arch.yaml.d/10-my-repo.yaml
⤷ Built-in defaults

Supondo um valor válido Certificado OpenPGP com o Impressão digital OpenPGP f1d2d2f924e986ac86fdf7b36c94bcdf32beec15 está presente (por exemplo, em /etc/voa/arch/package/my-repo/openpgp/f1d2d2f924e986ac86fdf7b36c94bcdf32beec15.openpgp), agora é possível verificar assinaturas de arquivos de pacotes com ele:

voa verify arch package my-repo openpgp my-package-1.0.0-1-x86_64.pkg.tar.zst{,.sig}
✅ my-package-1.0.0-1-x86_64.pkg.tar.zst.sig 1767267369 f1d2d2f924e986ac86fdf7b36c94bcdf32beec15 f1d2d2f924e986ac86fdf7b36c94bcdf32beec15

scripts de desenvolvimento 👷

O Projeto ALPM inclui o scripts de desenvolvimento ferramenta de teste para desenvolvedores. Permite executar testes em diversos alvos, incluindo a verificação OpenPGP de todos os pacotes nos repositórios oficiais.

Para testar isso, clone o repositório do projeto e baixe todos os pacotes nos repositórios oficiais.

Observação: Esteja ciente de que isso baixa cerca de 100 GB de dados! Você pode limitar a quantidade de download visando apenas um repositório específico (por exemplo, core).

git clone https://gitlab.archlinux.org/archliunx/alpm/alpm
cd alpm
cargo run --release --bin dev-scripts -- test-files download packages

Uma vez baixado, é possível verificar todos os arquivos do pacote com seus correspondentes desanexados Assinatura de dados OpenPGP.

cargo run --release --bin dev-scripts -- test-files test signatures
    Finished `release` profile (optimized) target(s) in 0.36s
     Running `/home/user/Downloads/alpm/.cargo/runner.sh target/release/dev-scripts test-files test signatures`
  (00:00:41) (████████████████████████████████████████) (15037/15037, ETA 0s)

A velocidade de verificação irá variar dependendo dos recursos disponíveis.

Outros back-ends de tecnologia 🚀

VOA foi projetado como uma solução genérica e extensível para a verificação de artefatos do sistema operacional.

Outros sistemas operacionais são incentivados a usá-lo para suas respectivas necessidades.

No momento em que este artigo foi escrito, apenas o backend da tecnologia OpenPGP estava totalmente especificado e implementado no projeto voa. O voa-openpgp A própria caixa ainda aguarda a integração do método de verificação “Web of Trust” baseado no romance “Berbloom” algoritmo.

UM prova de conceito para um backend de tecnologia X.509 existe e esperamos progredir em sua especificação e integração completas este ano.

Além disso, colaboradores externos demonstraram interesse em adicionar um backend tecnológico para o signify (ver voa#24).

Se você é especialista em uma tecnologia de assinatura específica e deseja colaborar, não deixe de entrar em contato! Adoraríamos ouvir de você.