CheckPackageSign: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
Строка 1: Строка 1:
{{stub}}
{{attention|Страница в разработке!!!}
=Проверка подписи пакета=
=Проверка подписи пакета=
Когда разработчик собирает пакет с программным обеспечением, он подписывает его собственным ключом, чтобы потом можно было проверить целостность и подлинность пакета.
Когда разработчик собирает пакет с программным обеспечением, он подписывает его собственным ключом, чтобы потом можно было проверить целостность и подлинность пакета.

Версия от 16:38, 19 июня 2024

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

{{attention|Страница в разработке!!!}

Проверка подписи пакета

Когда разработчик собирает пакет с программным обеспечением, он подписывает его собственным ключом, чтобы потом можно было проверить целостность и подлинность пакета.


$ rpmsign -Kv /ALT/Sisyphus/x86_64/RPMS.classic/aalib-1.4-alt8rc5.x86_64.rpm 
/ALT/Sisyphus/x86_64/RPMS.classic/aalib-1.4-alt8rc5.x86_64.rpm:
    Заголовок V4 RSA/SHA512 Signature, key ID da2773bb: NOKEY
    Header SHA1 digest: OK (55646034ebf72d56dd998eb2f472743bb1ff0f71)
    MD5 digest: OK (0cb307f1262551578b95326fa052ff4a)
    V4 RSA/SHA512 Signature, key ID da2773bb: NOKEY


$ gpg2 --show-keys --with-fingerprint --keyid-format=short /usr/lib/alt-gpgkeys/pubring.gpg 2>/dev/null | grep -i da2773bb -A2
pub   rsa4096/DA2773BB 2019-05-16 [SC] [   годен до: 2029-05-13]
      Отпечаток ключа = DF6C 02E5 F174 D7CD F792  A9CD FF97 9DED DA27 73BB
uid                    ALT Sisyphus <alt-sisyphus@altlinux.org>


Я не добрался до правильного импорта единичного ключа из alt-gpgkeys.


По умолчанию GnuPG устанавливается при установке системы. Поэтому вы можете сразу воспользоваться GnuPG для проверки любых пакетов, полученных от Red Hat. Но сначала вы должны импортировать открытый ключ Red Hat.

15.3.1. Импорт ключей

Чтобы проверять пакеты Red Hat, вы должны импортировть GPG-ключ Red Hat. Для этого введите в приглашении оболочки следующую команду:

rpm --import /usr/share/rhn/RPM-GPG-KEY

Чтобы просмотреть список всех ключей, используемых для проверки RPM, выполните команду:

rpm -qa gpg-pubkey*

Ключ Red Hat в этом списке будет выглядеть так:

gpg-pubkey-db42a60e-37ea5438

Чтобы узнать о конкретном ключе больше, выполните rpm -qi, добавив в конце результат предыдущей команды, например:

rpm -qi gpg-pubkey-db42a60e-37ea5438

15.3.2. Проверка подписи пакетов

Чтобы, загрузив GnuPG-ключ создателя пакета, проверить GnuPG-подпись этого пакета, выполните следующую команду (замените <rpm-file> именем файла RPM-пакета):

rpm -K <rpm-file>

Если всё проходит хорошо, появляется следующее сообщение md5 gpg OK. Это значит, что подпись пакета была проверена и она не испорчена.