Verificación de imágenes firmadas por código

Puede verificar que las imágenes han sido creadas y cargadas por IBM. También puede verificar el archivo Mono2Micro-CLI.zip , que proporciona la herramienta de línea de mandatos Mono2Micro .

Requisitos previos

Asegúrese de que las siguientes herramientas de línea de mandatos están instaladas en el sistema. En Linux, normalmente puede instalar las imágenes con el gestor de paquetes.

En el sistema donde están instaladas las herramientas de línea de mandatos, copie el siguiente bloque de texto exactamente como se muestra en un editor de texto y guárdelo en un archivo denominado mono2micro-public.gpg. Este bloque de texto representa la clave pública de contenedor certificada de IBM Mono2Micro en el formato GNU Privacy Guard.

-----BEGIN PGP PUBLIC KEY BLOCK-----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=LOiH
-----END PGP PUBLIC KEY BLOCK-----

Verificación de la imagen con la firma

Puede verificar la imagen con una firma para las instalaciones de prueba o de registro autorizado (ER).

  1. Importe la clave pública del contenedor certificado de IBM Mono2Micro .
    gpg --import mono2micro-public.gpg

  2. Prepare la huella digital.

    fingerprint=$(sudo gpg --fingerprint --with-colons International Business Machines Corporation | grep fpr | tr -d 'fpr:')

    Este mandato almacena la huella digital de la clave en la variable de entorno fingerprint , que es necesaria para que el mandato verifique la firma. Cuando salga de la sesión de shell, se suprimirá la variable. La próxima vez que inicie sesión en el sistema, puede volver a ejecutar el mandato para establecer de nuevo la variable de entorno.

  3. Compruebe las firmas de las imágenes extraídas.

    Basándose en las imágenes que se han instalado con la herramienta de línea de mandatos Mono2Micro , ejecute el mandato docker images o podman images para obtener las etiquetas de las imágenes que se han utilizado.

  4. Copie en un directorio local para cada repositorio. Por ejemplo:

    skopeo copy docker://<repository_tag> dir:/<image_directory>

    Para una instalación ER, sustituya <repository_tag> por uno de los valores siguientes.

    • icr.io/cp/mono2micro/mono2micro-cardinal:<version>
    • icr.io/cp/mono2micro/mono2micro-ui:<version>
    • icr.io/cp/mono2micro/mono2micro-aipl:<version>
    • icr.io/cp/mono2micro/mono2micro-bluejay:<version>

    Para una instalación de prueba, sustituya <repository_tag> por uno de los valores siguientes.

    • icr.io/appcafe/mono2micro-cardinal:<version>
    • icr.io/appcafe/mono2micro-ui:<version>
    • icr.io/appcafe/mono2micro-aipl:<version>
    • icr.io/appcafe/mono2micro-bluejay:<version>

    Para las instalaciones ER y de prueba, sustituya <image_directory> por la ubicación de la imagen copiada.

  5. Verifique la imagen utilizando la firma y el repositorio descargados.

    Para una instalación ER o de prueba, ejecute el siguiente mandato standalone-verify para verificar una imagen.

    skopeo standalone-verify <image_directory>/manifest.json \
<repository_tag> ${fingerprint} <image_directory>/signature-2

Verificación del archivo Mono2Micro-CLI.zip con jarsigner

Cuando instale Mono2Micro, descargue el archivo Mono2Micro-CLI.zip de http://ibm.biz/Mono2Micro-downloads e instala la Mono2Micro herramienta de línea de comandos. El archivo Mono2Micro-CLI.zip descargado está firmado y puede verificarse con la herramienta jarsigner que se incluye con Java®.

  1. Verifique el archivo Mono2Micro-CLI.zip con jarsigner.

    Abra una línea de mandatos en la ubicación del archivo ZIP y ejecute el mandato siguiente.

    jarsigner -verify Mono2Micro-CLI.zip -certs -verbose

  2. Confirme que la salida del firmante se parece a la siguiente salida, que verifica la validez del archivo.

    Firmante
X.509, CN= International Business Machines Corporation, OU= IBM CCSS, O= International Business Machines Corporation, L=Armonk, ST=New York, C=US