いくつかのパッチドキュメントの Special Installation Instructions に以下の記述がありました。
To verify software signatures in signed PHXX_XXXXX
patch depot, version B.11.31.1303.390 or later of
Software Distributor (SD) and version A.01.01.07 or
later of HP-UX Whitelisting (WhiteListInf) must be
installed.
To verify the signatures, run:
swsign -v -s /path/to/patch.depot
この記述の意味について教えてください。
また、何か特別な作業が必要なのでしょうか。
上記は、署名検証機能に関する記述です。
署名検証機能は HP-UX 11i v3 2013年3月版より追加された機能です。
2013年3月以降にリリースされたソフトウェアやパッチには、デジタル署名が付与されています。
ソフトウェアに不正な改造が加えられておらず、HPE 社によってリリースされたものであることを保証するため、署名の検証が可能になりました。
署名検証機能を使用しない場合、特別な作業は必要ありません。
署名を検証するには、以下のソフトウェアが必要です。
# swsign -v -s <デポ>
(例)swsign の実行例
# swsign -v -s /var/tmp/PHKL_43571.depot
======= 02/25/14 14:33:45 JST BEGIN swsign (verify) SESSION
* Session started for user "root@kuro4".
* Source: /var/tmp/PHKL_43571.depot
* Depot Type: tape
* Software level: depot bundle product fileset
* Public key: /usr/lib/sw/swsign/hp_public_key.pem
* Logfile: /var/adm/sw/swsign.log
* Temp directory: /tmp/swsign/swsign008692
* Software selections:
*
* Extracting tape depot to a temporary directory
* Generating software object list
* Generating hash filelist for each bundle/product/fileset
* Generating filelist for sign verification
* Verifying signatures
* Summary of Signature Verification
Passed Depot metadata
Passed PHKL_43571,r=1.0,a=HP-UX_B.11.31_IA/PA,v=HP
Passed PHKL_43571.CORE2-KRN,r=1.0,a=HP-UX_B.11.31_IA/PA,v=HP,fr=1.0,fa=HP-UX_B.11.31_IA
Passed PHKL_43571.CORE2-KRN,r=1.0,a=HP-UX_B.11.31_IA/PA,v=HP,fr=1.0,fa=HP-UX_B.11.31_PA
NOTE: Signature verification succeeded for 0 of 0 bundles, 1 of 1 products
and 2 of 2 filesets.
★ * Signature verification succeeded.
======= 02/25/14 14:33:46 JST END swsign (verify) SESSION
署名検証に問題がない場合は、「Signature verification succeeded.」と表示されます。
<注意事項>
HPE 社によってリリースされたデポを swcopy で別のデポにコピーした場合、署名検証ではエラーとなります。
コピーされたデポは、HPE 社からリリースされたものではないためです。
署名検証でエラーになっても、swcopy でコピーされたデポは問題なく使用できます。