# HG changeset patch # User Sergey Budnevitch # Date 1371550763 -14400 # Node ID 774505846a54add287dd530692cd9050467253c2 # Parent c58617c411535939d5c61a7991a69a62d0822667 Section about packages' and repositories' signatures added. diff -r c58617c41153 -r 774505846a54 xml/en/linux_packages.xml --- a/xml/en/linux_packages.xml Tue Jun 18 06:30:38 2013 +0000 +++ b/xml/en/linux_packages.xml Tue Jun 18 14:19:23 2013 +0400 @@ -7,7 +7,7 @@
@@ -273,4 +273,58 @@
+ +
+ + +Both RPM packages and Debian/Ubuntu repositories use digital signatures +to verify the integrity and origin of the downloaded package. +In order to check a signature it is necessary to download +nginx signing key +and import it to the rpm or apt +program’s keyring: + + + + +On Debian/Ubuntu: +sudo apt-key add nginx_signing.key + + + +On RHEL/CentOS: +sudo rpm --import nginx_signing.key + + + + + + +On Debian/Ubuntu signatures are checked by default, but +on RHEL/CentOS it is necessary to set +gpgcheck=1 in the +/etc/yum.repos.d/nginx.repo file. + + + +Since our PGP keys +and packages are located on the same server, +they are equally trusted. +It is highly advised to additionally verify +the authenticity of the downloaded PGP key. +PGP has the “Web of Trust” concept, +when a key is signed by someone else’s key, +that in turn is signed by another key and so on. +It often makes possible to build a chain from an arbitrary key +to someone’s key who you know and trust personally, +thus verify the authenticity of the first key in a chain. +This concept is described in details in + +GPG Mini Howto. +Our keys have enough signatures, +and their authenticity is relatively easy to check. + + +
+
diff -r c58617c41153 -r 774505846a54 xml/ru/linux_packages.xml --- a/xml/ru/linux_packages.xml Tue Jun 18 06:30:38 2013 +0000 +++ b/xml/ru/linux_packages.xml Tue Jun 18 14:19:23 2013 +0400 @@ -7,7 +7,7 @@
@@ -277,4 +277,59 @@
+ +
+ + +Для проверки целостности и происхождения загруженного пакета +и в случае RPM, и в случае репозиториев Debian/Ubuntu используется +цифровая подпись. +Для проверки подписи необходимо загрузить +этот ключ +и импортировать его в связку ключей программы rpm +или apt: + + + + +Для Debian/Ubuntu: +sudo apt-key add nginx_signing.key + + + +Для RHEL/CentOS: +sudo rpm --import nginx_signing.key + + + + + + +В Debian/Ubuntu подпись проверяется по умолчанию, однако +в RHEL/CentOS необходимо добавить +gpgcheck=1 в файл +/etc/yum.repos.d/nginx.repo. + + + +Поскольку наши PGP-ключи +находятся на том же сервере, что и пакеты, +им следует доверять в равной степени. +Поэтому мы настоятельно рекомендуем дополнительно проверить +подлинность загруженных PGP-ключей. +В PGP есть понятие “сети доверия”, +когда ключ подписывается чьим-либо другим ключом, +тот в свою очередь третьим, и т.д. +Это зачастую позволяет построить цепочку от произвольного ключа +до ключа человека, которого вы знаете и кому доверяете лично, +и таким образом удостовериться в подлинности первого ключа в цепочке. +Подробно эта концепция описана в + +GPG Mini Howto. +У наших ключей есть достаточное количество подписей, +поэтому проверить их подлинность относительно несложно. + + +
+