HowTo: Pakete signieren

[QTip]

Vorbereitungen

Mit DSM 5.1 beta hat Synology die Unterstützung von Herausgeber-Zertifikaten integriert. Diese werden, sofern vorhanden, von der jeweiligen Paketquelle oder per Public-Key an die gewünschten User verteilt.

Ich verwende hier als Ausgangsverzeichnis /usr/local/src, wer ein anderes Verzeichnis benutzen möchte, muss die Pfade entsprechend anpassen.

Bei Erstellung der Keys auf der DiskStation muss zuvor per ipkg das Paket gnupg installiert werden, da der gpg-agent fehlt.

ipkg install gnupg

Anschließend einen symbolischen Link

ln -s /opt/bin/gpg-agent /usr/syno/bin/gpg-agent

anlegen.

Verzeichnis toolkit erstellen

cd /usr/local/src
mkdir toolkit
cd toolkit

Entwicklungsumgebung aufsetzen

pkgscripts.tgz herunterladen, entpacken und in das Verzeichnis wechseln

wget http://sourceforge.net/projects/dsgpl/files/toolkit/pkgscripts.tgz/download -O pkgscripts.tgz
tar zxvf pkgscripts.tgz
cd pkgscripts

Eine Liste der verfügbaren Architekturen ${platform} für die Entwicklungsumgebung erhält man mit

./EnvDeploy -v 5.0 --list

v [x.x] = gewünschte DSM Version, wir benötigen mindestens 5.0

Entwicklungsumgebung für die gewünschte Architektur herunterladen und entpacken

./EnvDeploy -v 5.0 -p ${platform}

pkgscripts in die Entwicklungsumgebung kopieren - ${version} = entpackte Version

cd /usr/local/src/toolkit
cp -r pkgscripts build_env/ds.${platform}-${version}

Mit chroot in die Entwicklungsumgebung wechseln

chroot build_env/ds.${platform}-${version}

Dem .gnupg Verzeichnis die richtigen Rechte geben

cd /root
chmod 700 .gnupg

Die Entwicklungsumgebung steht, im nächsten Schritt folgt das Erstellen des gpg-Keypaares

gpg-Keypaar erzeugen (Private und Public)

Für die Generierung der Zufallsbytes benötigt gpg, abhängig von der Größe des Schlüssels und anderen Faktoren, eine bestimmte Menge an Entropie auf dem System. Wieviel Entropie zur Zeit vorhanden ist, kann mit dem Befehl

cat /proc/sys/kernel/random/entropy_avail

überprüft werden, allerdings verändert jede Überprüfung ebenfalls den Wert (ein Teufelskreis). Es ist ratsam, wärend der Erzeugung des Schlüssels, andere Arbeiten auf dem System durchzuführen, damit genügend Entropie zur Verfügung steht.
Die folgenden Methoden/Befehle verhelfen zu mehr Entropie auf dem System:

• ls / -R

• find / > /dev/null

• ein Programm mit ./configure zum compilen vorbereiten und anschließend compilieren.

Sollte die obigen Methoden nicht helfen, kann man auch haveged compieren/benutzen, Anleitung siehe Link: https://www.digitalocean.com/commun...ional-entropy-for-cloud-servers-using-haveged im Abschnitt "Installing from Source" (benötigt Compiler-Umgebung z.B. per ipkg Paket optware-devel)

Wichtig: Die genannten Methoden sollten, bis auf haveged, erst während der Erstellung - gezielt ab dem Zeitpunkt der Frage nach der Passphrase - durchgeführt werden.

Keypaar erzeugen

gpg --gen-key

Die folgenden Fragen wie angegeben beantworten:

• (1) RSA and RSA (default) [enter]
• 2048 [enter]
• 0 kein Ablauf des Keys [enter]
• Name: [gewünschter Name wie er im Paket-Zentrum unter "Einstellungen - Zertifikat" angezeigt wird] [enter]
• Email: [gewünschte Email] [enter]
• Passphrase: [leer lassen] und alle Anfragen bezügl. der leeren Passphrase bestätigen, da Keys ohne Passphrase sehr unsicher sind. [enter]

Warten...evtl. Methoden zur Erhöhung der Entropie während der Erstellung des Keys wiederholen -> 2. Terminalsitzung öffen.
Die anschließend in der Key-Datenbank enthaltenen Schlüssel können mit dem Befehl

gpg --list-keys

angezeigt werden, gezielt auch für public und private Keys (siehe Abschnitt Nützliche gpg Befehle und Dokumentationen)

gpg Public-Key exportieren

gpg --armor --export [Nummer hinter dem Slash] > [gewünschter Dateinname].asc

Public-Key kann direkt im Paket-Zentrum unter "Einstellungen - Zertifikat" importiert werden (Wichtig, wenn Pakete manuell installiert werden müssen)

gpg Private-Key exportieren

gpg private-key exportieren und an einem sicheren Ort aufbewahren. ***Am Besten in einem passwortgeschützten Keysafe sichern, da der Key keine Passphrase enthält***

gpg --armor --export-secret-keys [Nummer hinter dem Slash] > [gewünschter Dateinname]_sec.asc

Den exportierten privaten Schlüssel nach Kopie an einen sicheren Ort nicht auf der Diskstation liegen lassen...LÖSCHEN


Package signieren (nur innerhalb CHROOT)

php /pkgscripts/CodeSign.php --sign=[/Pfad/zum/Paket.spk]

Fehler "curl_exec() failed" beheben

Codesign.php benötigt eine Internetverbindung (zu Synology)

• Internetverbindung überprüfen
  mit chroot in die Entwicklungsumgebung wechseln
  ping google.de oder ähnlich ausführen, wenn man keine Antwort erhält, dann die Datei /etc/resolv.conf mit einem funktionierendem Nameserver versorgen, üblicherweise die Adresse des Routers.

Nützliche gpg Befehle und Dokumentationen

gpg --list-keys
gpg --list-secret-keys
gpg --list-public-keys
gpg --delete-secret-key [#keynumber]
gpg --delete-key [#keynumber]

http://www.hauke-laging.de/sicherheit/openpgp.html

Wie immer geht Alles auf eigene Kappe!

 

[neutron]

HI. Vielleicht kannst du mir ja dazu eine Frage beantworten. Ich hab mein Paket signiert, ebenfalls wird mein PGP Public Key beim hinzufügen meiner Quelle im Paketzentrum importiert. Trotzdem kann ich mein Paket nicht installieren wenn das Trust Level in den Einstellungen auf "Synology und vertrauenswürdige Herausgeber" steht. Hast du dazu eine Idee woran das noch liegen könnte ?

 

[DI4bI0]

Hiho,

soweit ich weiß, muss der PGP Public Key auch im Paket vorhanden sein.
Also im root verzeichniss des Paketes und muss den namen haben syno_signature.asc

mfg

EDIT: is quatch es muss der Schlüssel den du beim signieren des Paketes bekommst ins Paket sry

 

[QTip]

Dein Paket ist nicht signiert und enthält, wie DI4bI0 schon schrieb, keine Datei syno_signature.asc.
Wie hast du denn das Paket signiert oder hast nur das falsche Paket in deinem Paketserver? Wenn du alles richtig gemacht hast, dann sollte CodeSign.php automatisch die Datei in das Paket integrieren.

 

[neutron]

Genau diese Datei ist doch drin? Wo hast du denn geschaut?

 

[neutron]

Hab jetzt noch einmal nen komplett neuen Key generiert, der Public Key wird in meinem Package Server auch angegeben und wird beim hinzufügen der Quelle auch importiert. Mit eben diesem Key hab ich logischerweise auch das Paket signiert. Es geht aber trotzdem nicht.

Hier mal der Link zu der Datei, die ebenfalls genau so über das Paketzentrum verfügbar ist:

JDownloader_noarch.spk

Repo Quelle für Paketzentrum:

https://spk.netzbaer.de



Bin gerade echt ratlos.

 

[neutron]

Wirklich keine eine Idee ?

 

[QTip]

Hab jetzt noch einmal nen komplett neuen Key generiert, der Public Key wird in meinem Package Server auch angegeben und wird beim hinzufügen der Quelle auch importiert. Mit eben diesem Key hab ich logischerweise auch das Paket signiert. Es geht aber trotzdem nicht.

Also die beiden Dateien befinden sich auf verschiedenen Downloadpfaden. Dein angegebener Download JDownloader_noarch.spk zeigt auf "https://spk.netzbaer.de/JDownloader_noarch.spk", die Url vom Paketserver zeigt auf "http://www.netzbaer.de/synology/JDownloader_noarch.spk". Im Paket vom Paketserver ist keine Signature, im Paket vom Direktdownload ist die Signature enthalten. Ich würde https in Verbindung mit der Signature für deine Paketquelle bevorzugen.
Korrigiere dies erstmal...

Entspricht der Keyring im JSON der Signature in dem Paket vom Direktdownload?

 

[neutron]

Ich Idiot..so ok, Downloadquelle hab ich nun in der JSON Datei angepasst, also Direktdownload und Paketserver sind identisch. ABER es geht trotzdem immer noch nicht. Ich habe ja gemäß der Anleitung oben einen GPG Key erzeugt, danach meinen Public Key ausgelesen und diesen in den Keyring gepackt. Die Signierung erfolgt ja ebenfalls mit diesem Key, ich versteh echt nicht mehr was ich noch falsch mache.

 

[QTip]

Also ich hab grad deine Paketquelle neu hinzugefügt, einmal Aktualisieren ausgeführt und das Paket aus der Liste zum Installieren ausgewählt. Nach Bestätigung der Abfragen wurde das Paket, wenn auch sehr lange, installiert. In den Paketzentrumeinstellungen habe ich Synology Inc. und vertrauenswürdige Herausgeber eingestellt.

 

[neutron]

Stimmt, jetzt geht es ... ?! Baut das Ding einen Cache auf oder sowas ? Hab mal alles entfernt, DS rebooted, dann ging es.

 

[QTip]

Paket-Zentrum benutzt einen Cache, deswegen öfter mal von Hand aktualisieren, Paket-Zentrum schliessen und wieder öffnen.

 

[DKeppi]

Hallo zusammen,

habe alles wie hier beschrieben gemacht und den Key generiert bekomme aber beim Signieren folgenden Fehler:

Could not open input file: /pkgscripts/CodeSign.php

Einziger Unterschied ist, dass ichs in einer Debian-VM gemacht habe, da ich kein ipkg auf der Syno habe/brauche!

Hab ihr eine Idee was ich machen kann oder kann man auch manuell signieren?
Welche Key gehört in die syno_signature.asc?

 

[QTip]

Hast du auch den Schritt "pkgscripts in die Entwicklungsumgebung kopieren" ausgeführt? Sieht ganz danach aus, dass die Datei bei dir im CHROOT fehlt.
Das mit dem "Key als syno_signature.asc manuell reinkopieren kannst du vergessen, funktioniert nicht, es wäre natürlich der PublicKey

 

[DKeppi]

Ich Idiot...mein Fehler, sorry!
Dachte da ich bereits auf Debian bin, dass ich auf den CHROOT verzichten kann.

Im Chroot funktioniert alles - danke!

 

[raffnix84]

Hi,

ich habe das Problem das ich die EnvDeploy (Datei physikalisch vorhanden u+x auch da) gar nicht ausführen kann... hat da jemand einen Tipp für mich?

DS> cd /usr/local/src/toolkit/pkgscripts
DS> ./EnvDeploy -v 5.0 --list
-ash: ./EnvDeploy: not found

Im übrigen, konnte ich die pkgscripts.tgz auch nicht entpacken..
Damit ging es dann doch..

tar zvf pkgscripts.tgz

 

[1sthandy]

Hi, ich habe das gleiche vor und stehe nun auch vor der selbigen Meldung. Komme auch nicht weiter ...

 

[phpcode]

@QTip

Hallo, bin dein Tutorial soweit durch gegangen. Leider erhalte ich bei dem Befehl beim wechseln folgende Meldung obwohl es ja vorhanden ist.

root@BN-SVR-RS-01:/volume1/spkdev/toolkit# chroot /toolkit/build_env/ds.x64-5.0/
chroot: cannot change root directory to ‘/toolkit/build_env/ds.x64-5.0/’: No such file or directory

das ganze habe ich auf meiner Synology RS1219+ ausgeführt

Ich habe eine Synology RS1219+

Hast du ggf. nen Tipp oder weist was ich falsch mache?

Lieben Dank

VG

 

[QTip]

In der Anleitung existierte ein Tippfehler...

Wenn man der Anleitung folgt, dann befindet man sich bereits in /usr/local/src/toolkit, also muss der Aufruf für das Wechseln in die Entwicklungsumgebung statt

chroot /toolkit/build_env/ds.${platform}-${version}

chroot build_env/ds.${platform}-${version}

lauten.

 

[phpcode]

Hey QTip,

das ist richtig und habe ich berücksichtigt. Dennoch funktionierte es nicht. Hab's aber vermutlich hinbekommen mit der Anleitung von Synology: https://help.synology.com/developer-guide/create_package/sign_package.html

VG