Red Hat Summit6.8.3. Sequoia PGP での PQC を使用した RPM パッケージへの署名
Sequoia PGP を使用して PQC アルゴリズムで RPM パッケージに署名することで、第三者がパッケージの内容を改ざんできないようにします。
耐量子計算機暗号 (PQC) は、量子コンピューターからの攻撃に耐えるように設計された一連のアルゴリズムであり、ソフトウェアのセキュリティーを強化します。
RPM パッケージマネージャーは、OpenPGP 標準を使用してパッケージに署名します。OpenPGPv6 では、ハイブリッド方式の鍵および署名のサポートが導入されています。これは、現在の暗号化アルゴリズムと PQC アルゴリズムを組み合わせることで、単一障害点を回避し、生成される署名の信頼性を高めます。
RHEL バージョン 10.1 以降では、RPMv6 署名がサポートされています。この形式を使用すると、パッケージに複数の OpenPGP 署名を追加して、RPM レベルで冗長性を高めることができます。
パッケージへの署名は、RPMv4 署名と RPMv6 署名の両方を組み合わせて行うことができます。この機能を使用すると、複数の異なる RPM バージョンを使用して同じ署名を検証できます。RHEL 10.1 以降、RPM は RPMv6 署名が存在する場合はそれだけを検証し、RPMv4 署名は無視します。パッケージに RPMv6 署名が存在しない場合、RPM は RPMv4 署名を使用します。以前の RHEL バージョンでは、RPM はデフォルトで RPMv4 の署名を検証し、RPMv6 の署名は無視していました。RHEL 9.7 以降の RHEL 9 バージョンでは、RPMv6 署名のサポートを有効にできます。
6.8.3.1. PQC 鍵の作成
耐量子計算機暗号 (PQC) アルゴリズムを使用してパッケージに署名するには、まず Sequoia PGP でハイブリッドキーペアを作成します。
別のアルゴリズムを指定することも可能です。たとえば、次の手順では ML-DSA-87-Ed448 アルゴリズムを使用します。
手順
Sequoia PGP ツールをインストールします。
# dnf install sequoia-sqOpenPGP 鍵ペアを生成します。
$ sq key generate --own-key --expiration=never \ --cannot-authenticate --cannot-encrypt \ --email <vendor_email> --name "<vendor_name>" \ --cipher-suite mldsa87 --profile rfc9580<vendor_email> と <vendor_name> を、RPM パッケージを提供するソフトウェアベンダーのメールと名前に置き換えます。
このコマンドは、プライマリーキーと署名用のサブキーを生成します。
生成された鍵ペアを確認します。
$ sq key list --cert-email <vendor_email>- <ml_dsa_fingerprint> - user IDs: - <vendor_email> (authenticated) - <vendor_name> (authenticated) - created 2025-10-03 14:36:44 UTC - usable for signing - @softkeys/<ml_dsa_fingerprint>: available, unlocked - <subkey_fingerprint> - created 2025-10-03 14:36:44 UTC - usable for signing - @softkeys/<subkey_fingerprint>: available, unlockedPQC OpenPGP 証明書をエクスポートします。
$ sq cert export --cert-email '<vendor_email>' > RPM-PGP-KEY-VENDOR
次のステップ
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}