unmask

signing keys

公開鍵

unmask 配布物 (= rpm / deb / apk) は GPG / RSA で署名されています. unmask-release package が install 時に /etc/pki/rpm-gpg/ / /etc/apt/keyrings/ / /etc/apk/keys/ に公開鍵を配置するので、 以降は package manager が 署名検証します.

ただし 初回 unmask-release を install する時点では署名検証が無い (= chicken-and-egg) ため、 fingerprint を以下複数 channel で確認できるようにしています. TLS 担保 + fingerprint 突合で trust の起点を担保してください.

OpenPGP key (= rpm / deb 用)

User ID
unmask release <oss@unmask.sh>
Key type
EdDSA / ed25519 (= signing) + ECDH / cv25519 (= encryption subkey)
Fingerprint
D7B5 4FF0 C99B 97A4 AFC1 981C 16E4 2DED 2AA3 69AD
Long Key ID
16E42DED2AA369AD
Created
2026-05-09
Expires
0 (= no expiry)
Status
dev key (= v0.1 GA 前に hardware token / 1Password 移管 + rotate 予定)
Download
RPM-GPG-KEY-unmask
Cross-publish
keys.openpgp.org · GitHub README

Alpine RSA key (= apk 用)

User ID
oss@unmask.sh-260509
Key type
RSA 4096
SHA-256
63:77:6a:f3:57:b7:be:aa:db:2a:83:67:9d:ae:46:42:
ac:78:6d:ad:49:95:9b:7c:1f:cb:3d:16:5c:c9:a5:dc
Created
2026-05-09
Status
dev key (= v0.1 GA 前に rotate 予定)
Download
unmask.rsa.pub

Verify 手順

# OpenPGP key を import + fingerprint 確認
curl -O https://unmask.sh/dl/keys/RPM-GPG-KEY-unmask
gpg --with-fingerprint --show-keys RPM-GPG-KEY-unmask

# 別 channel と突き合わせる (= keys.openpgp.org / GitHub README / この page)
gpg --keyserver keys.openpgp.org --recv-keys <FINGERPRINT>

# rpm 単発 verify (= unmask-release rpm を install した後)
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-unmask
rpm -K dist/unmask-0.1.0-1.x86_64.rpm
# → "digests signatures OK" なら chain of trust 通過

# apt verify (= deb-822 sources の Signed-By が効いてるなら自動で検証される)
sudo apt update    # 取得時に署名検証. 失敗すれば error

# apk verify (= /etc/apk/keys/ 内に公開鍵があれば自動)
sudo apk update

重要: 公開鍵が改ざんされていないか確認するには 必ず複数の独立 channel で fingerprint を突合 してください. (= unmask.sh/dl の TLS だけに依存しないこと. TLS 改ざんは難しいですが fingerprint 突合は cost が低い割に攻撃耐性を大きく上げます.)