Red Hat Linux 7.1: Official Red Hat Linux Customization Guide
IndietroCapitolo 17. Gestione dei pacchetti con RPMAvanti

Verifica della "firma" di un pacchetto

Per verificare se un pacchetto è stato danneggiato, esaminate l'md5sum by digitando il comando seguente al prompt della shell (sostituite coolapp con il nome del file del pacchetto RPM): 
rpm --checksig --nogpg coolapp-1.1-1.rpm
Compare a video il messaggio coolapp-1.1-1.rpm: md5 OK. Questo breve messaggio indica che il file non è stato danneggiato durante il trasferimento.

Ci si può però fidare dello sviluppatore del pacchetto? Se il pacchetto è firmato dalla chiave GnuPG dello sviluppatore, allora quest'ultimo è chi dice di essere veramente.

I pacchetti RPM possono essere firmati tramite la Gnu Privacy Guard (o GnuPG). Grazie a quest'applicazione, potete capire se un pacchetto è sicuro.

GnuPG, un tool libero per la comunicazione sicura, sostituisce la tecnologia di cifratura PGP, un programma elettronico privato. Grazie a GnuPG, potete autenticare la validità di documenti e cifrare/decifrare dati da e verso altri destinatari. GnuPG è in grado di decifrare e verificare anche i file PGP 5.x.

Poiché durante l'installazione di Red Hat Linux GnuPG viene installato per default, potete iniziare subito a usare GnuPG per verificare i pacchetti che avete ricevuto da Red Hat. Per prima cosa, dovete importare la chiave pubblica di Red Hat.

Importazione delle chiavi

Quando importate una chiave pubblica, aggiungete tale chiave al vostro keyring (file che contiene le chiavi pubblica e privata). Poi, quando scaricate un documento o un file, controllate la validità di tale documento o file con la chiave che avete aggiunto al vostro keyring.

Per importare una chiave, usate l'opzione --import. Compe prova, scaricate e importate la chiave pubblica di Red Hat. In questo modo, ogni volta che scaricate un pacchetto di Red Hat, potete verificarne la validità.

Potete trovare la chiave di Red Hat all'indirizzo http://www.redhat.com/about/contact.html. Dal vostro browser, premete il tasto Shift mentre fate clic sul link di download, quindi fate clic sul pulsante OK per salvare il file (per esempio redhat2.asc). Poi, al prompt della shell, importate la chiave digitando il comando seguente: 

gpg --import redhat2.asc

Il messaggio che compare a video indica che la chiave è stata elaborata. Per appurarlo, digitate gpg --list-keys. A video compaiono la chiave che avete appena scaricato da Red Hat e le chiavi che possedete. 

[newuser@localhost newuser]$ gpg --list-keys
/home/newuser/.gnupg/pubring.gpg
-----------------------------------------
pub  1024D/DB42A60E 1999-09-23 Red Hat, Inc <security@redhat.com>
sub  2048g/961630A2 1999-09-23

SuggerimentoLe chiavi non devono essere link
 

A volte non vi è possibile scaricare una chiave da un link. Le chiavi sono file di testo, perciò possono essere salvate nella vostra macchina come file di testo. Se sapete il nome e la posizione del file salvato, potete importarlo nel vostro keyring.

Verifica dei pacchetti

Per verificare la firma GnuPG di un file RPM dopo avere importato la chiave GnuPG del costruttore, digitate il comando seguente (sostituite coolapp con il nome di file del vostro pacchetto RPM): 
rpm --checksig coolapp-1.1-1.rpm
Se tutto procede bene, compare a video il messaggio: md5 gpg OK, che significa che il pacchetto non è danneggiato.

Altre informazioni su GnuPG

Per maggiori informazioni su GnuPG, consultate l'Appendice A.

IndietroPartenzaAvanti
Utilizzo di RPMRisaliSorprendete i vostri amici con RPM