Utilisant GPG et Md5sum pour vérifier des signatures sur des paquets de Tarball

Share

|

Suivez ces étapes pour vérifier la signature d'un tarball gzipped :

1. Ajoutez la clef publique de la personne ou de l'organisation qui ont créé le paquet.

2. Signez la clef publique utilisant GPG.You peut l'une ou l'autre utilisation GPG --signez la commande, ou vous pouvez entrer le mode interactif de GPG.

3. Une fois que vous avez ajouté et avez signé la clef publique de la personne qui possède le paquet, sélectionnez la commande suivante : gpg --vérifiez signaturefile.tar.gz taballpackage.gz.

Vous recevrez alors un message l'un ou l'autre que la signature est bonne, ou que la clef publique ne peut pas être trouvée. Si la clef publique ne peut pas être trouvée, vous devez obtenir une autre clef publique, ou vous ne pourrez pas vérifier qui possède le paquet.

Utilisant Md5sum

Parfois, un réalisateur emploiera la commande de md5sum de produire d'un gâchis du dossier. Vous pouvez employer ce gâchis et la commande de md5sum de s'assurer que le dossier n'a pas été changé. La manière la plus facile de faire ceci est de lire le gâchis dont le réalisateur a produit, téléchargent la binaire en question, et puis courent md5sum contre elle.

Par exemple, supposez que vous apprenez que le démon de wu-ftpd (le démon responsable de fournir le ftp sur beaucoup d'emplacements) a un problème de sécurité. Vous souhaitez installer la dernière version bloquée. Après le téléchargement elle, vous courent md5sum contre le dossier :

md5sum wu-ftpd-2.8.1-6.i386.rpm
t412cfhh5bf1376cia9da6c5dd86a463 wu-ftpd-2.6.1-6.i386.rpm

Cependant, vous notez que la valeur du md5sum du réalisateur pour le même programme lit comme suit :

y415cfgz5bf1356cib8da6c5dd8da0k5

Vous devriez alors supprimer le dossier et trouver une autre source où vous pouvez vérifier le gâchis de md5sum.