Prérequis :

• >=sys-apps/portage-2.0.51_pre10
• >=app-crypt/gnupg-1.2.4

Préparation de la clef :

• Créez une nouvelle clef GnuPG DSA d'une longueur d'au moins 1024 bits, d'une période d'expiration de moins de six mois et avec un bon mot de passe.
• Envoyez la clef au serveur de clefs.

Configuration de Portage :

• Mettez à la variable PORTAGE_GPG_DIR la valeur de votre répertoire gnupg (par exemple ~/.gnupg/, ou le répertoire où le fichier contenant la clef se trouve).
• Mettez à la variable PORTAGE_GPG_KEY la valeur de votre clef d'identification pour la nouvelle clef.
• Ajoutez le paramètre FEATURES="sign" à votre configuration.

Maintenant vous devriez pouvoir signer vos Manifests lorsque vous effectuez une soumission avec repoman. Repoman va vous demander votre mot de passe avant de soumettre le Manifest. Cette étape se fait après qu'il ait soumis l'ensemble des autres fichiers. Pour le moment, repoman ne vérifie pas encore si le Manifest était déjà signé ou non, ce qui fait que d'autres développeurs peuvent supprimer votre signature du paquet ultérieurement. Cet état de fait changera lorsque la signature des Manifests deviendra obligatoire.

Pour le moment Portage n'a pas encore intégré d'outil de vérification. Un premier essai qui permette de vérifier un Manifest est disponible pour tester ici. C'est un code en version alpha, très incomplet, et il n'est là que pour tester. Aucune garantie n'est donnée.