16.3. Verificando a Assinatura de um Pacote

Se você deseja verificar se um pacote foi corrompido ou modificado, examine somente a soma md5 digitando o seguinte comando em uma janela de comandos (<rpm-file> pelo nome do arquivo do pacote RPM):

rpm -K --nogpg <rpm-file>

A mensagem <rpm-file>: md5 OK á apresentada. Esta breve mensagem significa que o arquivo não foi corrompido pelo download. Para visualizar uma mensagem mais verbalizada, substitua -K por -Kvv no comando.

Por outro lado, o quão confiável é o desenvolvedor que criou o pacote? Se o pacote é assinado com a chave GnuPG do desenvolvedor, você sabe que o desenvolvedor é realmente quem ele clama ser.

Um pacote RPM pode ser assinado usando o Gnu Privacy Guard (ou GnuPG), para que você tenha certeza de fazer o download de um pacote confiável.

O GnuPG é uma ferramenta para comunicação segura; é um substituto completo e gratuito da tecnologia de criptografia do PGP, um programa de privacidade eletrônica. Com o GnuPG, você pode autenticar a validade de documentos e criptografar/descriptografar dados de e para outros destinos. O GnuPG também é capaz de descriptografar e verificar arquivos PGP 5.x.

Durante a instalação, o GnuPG é instalado por default. Desta maneira, você pode começar a usar o GnuPG imediatamente para verificar todos os pacotes que receber da Red Hat. Primeiro, você precisa importar a chave pública da Red Hat.

16.3.1. Importando Chaves

Para verificar os pacotes da Red Hat, você deve importar a chave GPG da Red Hat. Para fazê-lo, execute o seguinte em uma janela de comandos:

rpm --import /usr/share/rhn/RPM-GPG-KEY

Para exibir uma lista de todas as chaves instaladas para a verificação do RPM, execute o comando:

rpm -qa gpg-pubkey*

Para a chave da Red Hat, o output inclui:

gpg-pubkey-db42a60e-37ea5438

Para exibir detalhes sobre uma chave específica, use rpm -qi seguido pelo output do comando anterior:

rpm -qi gpg-pubkey-db42a60e-37ea5438

16.3.2. Verificando a Assinatura de Pacotes

Para verificar a assinatura GnuPG de um arquivo RPM após importar a chave GnuPG do criador, use o seguinte comando (substitua <rpm-file> pelo nome do arquivo do pacote RPM):

rpm -K <rpm-file>

Se tudo correr bem, é exibida a seguinte mensagem: md5 gpg OK. Isto significa que a assinatura do pacote foi verificada e não está corrompida.