signing keys
公開鍵
unmask 配布物 (= rpm / deb / apk) は GPG / RSA で署名されています. unmask-release
package が install 時に /etc/pki/rpm-gpg/ / /etc/apt/keyrings/ /
/etc/apk/keys/ に公開鍵を配置するので、 以降は package manager が
署名検証します.
ただし 初回 unmask-release を install する時点では署名検証が無い
(= chicken-and-egg) ため、 fingerprint を以下複数 channel で確認できるようにしています.
TLS 担保 + fingerprint 突合で trust の起点を担保してください.
OpenPGP key (= rpm / deb 用)
- User ID
unmask release <oss@unmask.sh>- Key type
- EdDSA / ed25519 (= signing) + ECDH / cv25519 (= encryption subkey)
- Fingerprint
D7B5 4FF0 C99B 97A4 AFC1 981C 16E4 2DED 2AA3 69AD- Long Key ID
16E42DED2AA369AD- Created
- 2026-05-09
- Expires
- 0 (= no expiry)
- Status
- dev key (= v0.1 GA 前に hardware token / 1Password 移管 + rotate 予定)
- Download
- RPM-GPG-KEY-unmask
- Cross-publish
- keys.openpgp.org · GitHub README
Alpine RSA key (= apk 用)
- User ID
oss@unmask.sh-260509- Key type
- RSA 4096
- SHA-256
63:77:6a:f3:57:b7:be:aa:db:2a:83:67:9d:ae:46:42:
ac:78:6d:ad:49:95:9b:7c:1f:cb:3d:16:5c:c9:a5:dc- Created
- 2026-05-09
- Status
- dev key (= v0.1 GA 前に rotate 予定)
- Download
- unmask.rsa.pub
Verify 手順
# OpenPGP key を import + fingerprint 確認 curl -O https://unmask.sh/dl/keys/RPM-GPG-KEY-unmask gpg --with-fingerprint --show-keys RPM-GPG-KEY-unmask # 別 channel と突き合わせる (= keys.openpgp.org / GitHub README / この page) gpg --keyserver keys.openpgp.org --recv-keys <FINGERPRINT> # rpm 単発 verify (= unmask-release rpm を install した後) rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-unmask rpm -K dist/unmask-0.1.0-1.x86_64.rpm # → "digests signatures OK" なら chain of trust 通過 # apt verify (= deb-822 sources の Signed-By が効いてるなら自動で検証される) sudo apt update # 取得時に署名検証. 失敗すれば error # apk verify (= /etc/apk/keys/ 内に公開鍵があれば自動) sudo apk update
重要: 公開鍵が改ざんされていないか確認するには 必ず複数の独立 channel で fingerprint を突合 してください. (= unmask.sh/dl の TLS だけに依存しないこと. TLS 改ざんは難しいですが fingerprint 突合は cost が低い割に攻撃耐性を大きく上げます.)