Überprüfen der Signatur eines Pakets
Wenn Sie überprüfen möchten, dass ein Paket unbeschädigt ist, prüfen Sie lediglich die MD5-Summe. Geben Sie hierzu den folgenden Befehl am Shell Prompt ein (ersetzen Sie coolapp mit dem Dateinamen Ihres RPM Pakets):
rpm --checksig --nogpg coolapp-1.1-1.rpm |
Aber: wie vertrauenswürdig ist der Entwickler des Pakets? Nur, wenn das Paket signiert wurde und den GnuPG Schlüssel aufweist, wissen Sie, dass das Paket wirklich vom angegebenen Entwickler stammt.
Ein RPM Paket kann mithilfe des Gnu Privacy Guard (oder GnuPG) signiert werden, was sicherstellt, dass das heruntergeladene Paket "vertrauenswürdig" ist.
GnuPG ist ein Tool für sichere Kommunikation und stellt einen umfassenden und freien Ersatz für die Verschlüsselungstechnologie von PGP dar. Mit GnuPG können Sie die Echtheit von Dokumenten überprüfen und Daten für den Austausch mit anderen Benutzern verschlüsseln und entschlüsseln. Das Tool ist auch in der Lage, PGP5.x Dateien zu entschlüsseln und zu überprüfen.
Bei der Installation von Red Hat Linux wird GnuPG standardmäßig installiert. Sie können somit GnuPG sofort verwenden, um alle Pakete zu überprüfen, die Sie von Red Hat erhalten haben. Zunächst müssen Sie den öffentlichen Schlüssel von Red Hat importieren.
Importieren von Schlüsseln
Wenn Sie einen öffentlichen Schlüssel importieren, fügen Sie diesen in Ihrem Schlüsselring (eine Datei für öffentliche Schlüssel) hinzu. Wenn Sie ein Dokument oder eine Datei von einem anderen Benutzer herunterladen, können Sie die Gültigkeit mithilfe des entsprechenden Schlüssels in ihrem Schlüsselring überprüfen.
Verwenden Sie die Option --import, um einen öffentlichen Schlüssel zu importieren. Als Beispiel soll hier der öffentliche Schlüssel von Red Hat heruntergeladen und importiert werden. Mithilfe dieses Schlüssels können Sie nun jederzeit die Gültigkeit eines Red Hat Pakets überprüfen.
Der Schlüssel von Red Hat ist erhältlich unter http://www.redhat.com/about/contact.html. Mithilfe Ihres Browsers können Sie den Schlüssel herunterladen, indem Sie auf Shift drücken, während Sie auf den Link zum Herunterladen klicken. Klicken Sie anschließend auf OK, um die Datei zu speichern (zum Beispiel redhat2.asc). Importieren Sie den Schlüssel am Shell Prompt schließlich mit dem folgenden Befehl:
gpg --import redhat2.asc |
Die folgende Ausgabe zeigt an, dass der Schlüssel verarbeitet wurde. Geben Sie den Befehl gpg --list-keys ein, um zu prüfen, dass der Schlüssel hinzugefügt wurde. Es werden der Schlüssel, den Sie gerade von Red Hat heruntergeladen haben, sowie Ihre eigenen Schlüssel angezeigt.
[newuser@localhost newuser]$ gpg --list-keys /home/newuser/.gnupg/pubring.gpg ----------------------------------------- pub 1024D/DB42A60E 1999-09-23 Red Hat, Inc <security@redhat.com> sub 2048g/961630A2 1999-09-23 |
 | Schlüssel müssen nicht unbedingt Links sein |
|---|---|
Es kann vorkommen, dass Sie einen Schlüssel nicht über einen Link herunterladen können. In diesem Fall können Sie jeden beliebigen Schlüssel als Textdatei speichern. Sofern Sie sich an den Namen und den Speicherort der gespeicherten Datei erinnern, können Sie den Schlüssel problemlos in Ihren Schlüsselring importieren. |
Prüfen von Paketen
Um die GnuPG Signatur einer RPM Datei zu prüfen, nachdem der GnuPG Schlüssel des Herstellers importiert wurde, geben Sie den folgenden Befehl ein (ersetzen Sie coolapp mit dem Namen Ihres RPM Pakets):
rpm --checksig coolapp-1.1-1.rpm |
Weitere Informationen über GnuPG
Weitere Informationen über GnuPG finden Sie unter Anhang A.