Linux'ta Kod İmzalama: GPG ve RPM/DEB Paket İmzalama

Linux'ta Kod İmzalama Ekosistemi

Linux dünyasındaki kod imzalama, Windows'tan farklı bir ekosistem kullanır. Ana mekanizma GPG (GNU Privacy Guard) tabanlı paket imzalamadır. Ancak üçüncü parti kod imzalama sertifikaları da desteklenir.

GPG Anahtar Oluşturma

# Yeni GPG anahtar çifti oluştur
gpg --full-generate-key
# RSA 4096-bit, email ve isim bilgileri girilir

# Public key'i dışa aktar
gpg --armor --export "email@sirket.com" > public.key

RPM Paket İmzalama (Red Hat/CentOS/Fedora)

# ~/.rpmmacros dosyasına ekleyin
%_gpg_name email@sirket.com

# RPM paketini imzalama
rpm --addsign paket.rpm

# İmza doğrulama
rpm --checksig paket.rpm

DEB Paket İmzalama (Debian/Ubuntu)

# dpkg-sig ile imzalama
dpkg-sig --sign builder paket.deb

# Doğrulama
dpkg-sig --verify paket.deb

APT Repository İmzalama

Debian/Ubuntu yazılım depolarını GPG ile imzalamak, kullanıcıların güvenli kaynaklardan paket yüklemesini sağlar:

# Release dosyasını imzala
gpg --armor --detach-sign --output Release.gpg Release
gpg --clearsign --output InRelease Release

Kernel Modül İmzalama

Linux kernel modülleri, Secure Boot aktif sistemlerde imzalı olmalıdır:

# Kernel build config
CONFIG_MODULE_SIG=y
CONFIG_MODULE_SIG_SHA256=y

# Modül imzalama
/usr/src/linux/scripts/sign-file sha256 private_key.pem x509_cert.pem module.ko

Osslsigncode ile PE İmzalama

Linux üzerinde Windows PE dosyalarını imzalamak için osslsigncode aracını kullanabilirsiniz:

osslsigncode sign -pkcs12 sertifika.pfx -pass "sifre" -ts http://timestamp.digicert.com -h sha256 -in uygulama.exe -out uygulama_signed.exe