Registre de confiance FR

Vérifier les artefacts

Vérifiez les signatures d'artefacts avec l'ensemble de clés de confiance actuel.

Clés de confiance (Production Release Signing Policy v2)

Les clés suivantes sont répertoriées dans la politique de signature active. Utilisez l'empreinte pour vérifier les signatures d'artefacts.

Ed25519 Primary Signing Key (2026)
Ed25519 Actif trust: high
SHA256:mV3rN8pQ2sK7wX1bF5tG9hC4eD6jA0nL
Public key (PEM)
-----BEGIN PUBLIC KEY-----
MCowBQYDK2VwAyEAmV3rN8pQ2sK7wX1bF5tG9hC4eD6jA0nLvR2oH7qMcPw4yS6
-----END PUBLIC KEY-----
Comment vérifier
cosign verify-blob \
  --key pubkey.pem \
  --signature artifact.sig \
  artifact

Développez la clé publique ci-dessus, enregistrez-la dans pubkey.pem, puis exécutez cette commande. Pour les images de conteneur, utilisez cosign verify plutôt que cosign verify-blob.

Ed25519 Secondary Signing Key (2025)
Ed25519 Actif trust: high
SHA256:rC9xG2oP6wA3sU7yM4bI5nF8jK1hE0tV
Public key (PEM)
-----BEGIN PUBLIC KEY-----
MCowBQYDK2VwAyEArC9xG2oP6wA3sU7yM4bI5nF8jK1hE0tVzL2mJ7vXpQn4dY5
-----END PUBLIC KEY-----
Comment vérifier
cosign verify-blob \
  --key pubkey.pem \
  --signature artifact.sig \
  artifact

Développez la clé publique ci-dessus, enregistrez-la dans pubkey.pem, puis exécutez cette commande. Pour les images de conteneur, utilisez cosign verify plutôt que cosign verify-blob.

AWS KMS Container Signing Key (2025)
Cloud-KMS-ECDSA-P256 Actif trust: high
SHA256:pE3wJ6lN9xB2rT5vG8dO1mK4fH7aL0qI
Comment vérifier
cosign verify \
  --key awskms:///arn:aws:kms:ca-central-1:123456789012:key/mrk-9f2a3c4d5e6b7081920a3b4c5d6e7f89 \
  <image>
Keyless OIDC — Gitea Actions
Keyless-OIDC Actif trust: medium
Éphémère — aucune clé persistante
Émetteur OIDC: https://git.home.jdoe.dev
Comment vérifier
cosign verify \
  --certificate-identity-regexp="https://git.home.jdoe.dev/patterneddesigns/*/.gitea/workflows/*.yaml@refs/heads/main" \
  --certificate-oidc-issuer="https://git.home.jdoe.dev" \
  <image>
Ed25519 Emergency Replacement Key (Oct 2025)
Ed25519 Actif trust: high
SHA256:nD2vH5kM8tY1cL4qW9eR3bO6fS7gJ0uA
Public key (PEM)
-----BEGIN PUBLIC KEY-----
MCowBQYDK2VwAyEAnD2vH5kM8tY1cL4qW9eR3bO6fS7gJ0uAzX3nK8pMvRq1wT7
-----END PUBLIC KEY-----
Comment vérifier
cosign verify-blob \
  --key pubkey.pem \
  --signature artifact.sig \
  artifact

Développez la clé publique ci-dessus, enregistrez-la dans pubkey.pem, puis exécutez cette commande. Pour les images de conteneur, utilisez cosign verify plutôt que cosign verify-blob.

Vérification de révocation

Avant de faire confiance à une signature, vérifiez que la clé de signature n'est pas révoquée. La liste de révocation est disponible à:

https://trust.patterneddesigns.ca/api/v1/revocations/

Voir les dossiers de révocation →