Deploy-Attest

Signierte SHA-256-Manifeste der nullzwo-Deploy-Pipeline. Jeder automatische Deploy hinterlegt hier, welche Dateien er mit welchen Hashes publiziert hat (Tamper-Evidence).

• latest.txt + Signatur — aktueller Stand
• manifests/ — Historie, ein Manifest pro Deploy (append-only)

Verifikation (Public Key liegt als scripts/attest-signers im Website-Repo):

ssh-keygen -Y verify -f scripts/attest-signers \
  -I deploy@nullzwo.at -n nullzwo-deploy-attest \
  -s latest.txt.sig < latest.txt

Komfortabel: ./scripts/attest-verify.sh (prüft Signatur und Live-Hashes).