LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@ohakutsuinQiita株式会社

Apache Portable Runtimeの署名検証をする際に公開鍵を探した話

Last updated at Posted at 2022-02-11

はじめに

Apache のソースビルドをしようとしたときに、Apache Portable Runtime(APR)の署名、ハッシュ値の検証をした。
その際に、ドキュメントを見ても公開鍵が見当たらなくて困ったので記事にする。

今回検証したのは、APR 1.7.0です。

結論

  • 鍵 ID 1E1F909911C78735
  • フィンガープリント B1B9 6F45 DFBD CCF9 7401 9235 193F 180A B55D 9977

の公開鍵を鍵サーバーから取得することで署名を検証できた。

やったこと

https://apr.apache.org/download.cgi を見ながら、ソースコードをダウンロード。

$ curl -L -O https://dlcdn.apache.org//apr/apr-1.7.0.tar.gz

分離署名になっているため、署名ファイルもダウンロード。

$ curl -L -O https://www.apache.org/dist/apr/apr-1.7.0.tar.gz.asc

署名検証をしようと公開鍵はどれか探してみたが、見つからず...

とりあえず鍵 ID を確認

$ gpg --verify apr-1.7.0.tar.gz.asc apr-1.7.0.tar.gz

gpg: Signature made 2019年04月02日 02時56分25秒 JST
gpg:                using RSA key 1E1F909911C78735
gpg: Can't check signature: No public key

鍵サーバーを検索してみる

$ gpg --keyserver pgpkeys.mit.edu --search-keys 1E1F909911C78735

gpg: data source: http://pgpkeys.mit.edu:11371
(1)     William A. Rowe, Jr. <wrowe@apache.org>
        William A. Rowe, Jr. <wrowe@pivotal.io>
        William A. Rowe, Jr. <wrowe@vmware.com>
        William A. Rowe, Jr. <wrowe@rowe-clan.net>
        William A. Rowe, Jr. <william.rowe@springsource.com>
          4096 bit RSA key 193F180AB55D9977, created: 2008-04-09, expires: 2020-07-08 (expired)

メールアドレス「wrowe@apache.org」はそれっぽい。

https://httpd.apache.org/dev/verification.html#Validating によると、https://people.apache.org/keys/committer/ に Apache 開発者のフィンガープリントが公開されているらしい。

フィンガープリントを確認してみる。

$ gpg --fingerprint 1E1F909911C78735

pub   rsa4096 2008-04-09 [SC] [expired: 2020-07-08]
      B1B9 6F45 DFBD CCF9 7401  9235 193F 180A B55D 9977
uid           [ expired] William A. Rowe, Jr. <wrowe@rowe-clan.net>
uid           [ expired] William A. Rowe, Jr. <wrowe@apache.org>
uid           [ expired] William A. Rowe, Jr. <wrowe@pivotal.io

B1B9 6F45 DFBD CCF9 7401 9235 193F 180A B55D 9977を検索してみると、、

image.png

いた!

有効期限が切れているが、この公開鍵は本物の様。

署名検証をしてみると、、

$ gpg --verify apr-1.7.0.tar.gz.asc apr-1.7.0.tar.gz

gpg: Signature made 2019年04月02日 02時56分25秒 JST
gpg:                using RSA key 1E1F909911C78735
gpg: Good signature from "William A. Rowe, Jr. <wrowe@rowe-clan.net>" [expired]
gpg:                 aka "William A. Rowe, Jr. <wrowe@apache.org>" [expired]
gpg:                 aka "William A. Rowe, Jr. <wrowe@pivotal.io>" [expired]
gpg: Note: This key has expired!
Primary key fingerprint: B1B9 6F45 DFBD CCF9 7401  9235 193F 180A B55D 9977
     Subkey fingerprint: 41E0 4A4F 57D8 2401 C81F  4FED 1E1F 9099 11C7 8735

正しく署名を確認できた。

さいごに

公開鍵の有効期限が切れてしまっているが、どこに報告すればいいのかハッキリわかっていない。(メーリングリストでいいのか?)
もし、適切そうな報告先がわかる方がいましたら教えていただけると幸いです。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?