16.3. Verifica della "firma" di un pacchetto

Per verificare se un pacchetto è stato danneggiato, esaminate l'md5sum digitando il comando seguente al prompt della shell (sostituite <file-rpm> con il nome del file del pacchetto RPM):

rpm -K --nogpg <rpm-file>

Verrà visualizzato il messaggio <file-rpm>: md5 OK. Questo breve messaggio indica che il file non è stato danneggiato durante il download. Per un messaggio più dettagliato, sostituite -K con -Kvv nel comando.

Ci si può però fidare dello sviluppatore del pacchetto? Se il pacchetto è firmato dalla chiave GnuPG dello sviluppatore, allora quest'ultimo è veramente chi dice di essere.

I pacchetti RPM possono essere firmati tramite la Gnu Privacy Guard (o GnuPG) che consente di capire se il pacchetto che avete scaricato è sicuro.

GnuPG, un tool libero per la comunicazione sicura, sostituisce la tecnologia di cifratura PGP, un programma elettronico privato. Grazie a GnuPG, potete autenticare la validità di documenti e cifrare/decifrare dati da e verso altri destinatari. GnuPG è in grado di decifrare e verificare anche i file PGP 5.x.

Durante l'installazione, GnuPG viene installato per default. In questo modo potete subito iniziare a utilizzarlo per verificare i pacchetti che ricevete da Red Hat. Per prima cosa, dovete importare la chiave pubblica di Red Hat.

16.3.1. Importazione delle chiavi

Per verificare i pacchetti di Red Hat ufficiali, è necessario importare la chiave GPG di Red Hat. Per effettuare questa operazione, eseguite il comando riportato di seguito al prompt della shell:

rpm --import /usr/share/rhn/RPM-GPG-KEY

Per visualizzare un elenco di tutte le chiavi installate per la verifica RPM, eseguite il comando:

rpm -qa gpg-pubkey*

Per la chiave di Red Hat l'output comprenderà:

gpg-pubkey-db42a60e-37ea5438

Per visualizzare i dettagli su una chiave specifica, utilizzate rpm-qi, seguito dall'output del comando precedente:

rpm -qi gpg-pubkey-db42a60e-37ea5438

16.3.2. Verifica della firma dei pacchetti

Per verificare la firma GnuPG di un file RPM dopo avere importato la chiave GnuPG del costruttore, digitate il comando seguente (sostituite <file-rpm> con il nome di file del vostro pacchetto RPM):

rpm -K <rpm-file>

Se l'operazione va a buon fine, verrà visualizzato il seguente messaggio: md5 gpg OK, che indica che la firma del pacchetto è stata verificata e che non è stato corrotto.