32.3. Verificando la firma del paquete

Si desea verificar si algún paquete ha sido dañado o alterado examine sólo la suma md5 tecleando el siguiente comando en un intérprete de comandos de shell (sustituya <rpm-file> con el nombre de archivo de su paquete):

rpm -K --nogpg <rpm-file>

Aparecerá el mensaje <rpm-file>: md5 OK. Este breve mensaje significa que el archivo no ha sido dañado al momento de la descarga. Si desea un mensaje más detallado, reemplace -K por -Kvv en el comando.

Por otra parte, ¿cuánto es de fiable el desarrollador que creó el paquete? Si el paquete está firmado con la clave GnuPG del desarrollador, sabrá que el desarrollador de verdad es quien dice ser.

Se puede firmar un paquete RPM usando la Gnu Privacy Guard (o GnuPG), para ayudarle a asegurarse que el paquete descargado es de fiar.

GnuPG es una herramienta para comunicación segura; reemplaza completa y gratuitamente la tecnología de encriptación de PGP, un programa electrónico de privacidad. Con GnuPG usted puede autentificar la validez de los documentos y encriptar/descifrar datos de y hacia otros destinatarios. Además, GnuPG es capaz de descifrar y verificar archivos PGP 5.x.

Durante la instalación de Red Hat Linux, GnuPG está instalado por defecto. De este modo podrá usar inmediatamente GnuPG para verificar cualquier paquete que reciba desde Red Hat. En primer lugar necesitará importar la clave pública privada de Red Hat.

rpm --import /usr/share/rhn/RPM-GPG-KEY

rpm -qa gpg-pubkey*

gpg-pubkey-db42a60e-37ea5438

rpm -qi gpg-pubkey-db42a60e-37ea5438

32.3.2. Verificación de la firma de paquetes

Para controlar la firma GnuPG de un archivo RPM después de importar la clave del constructor GnuPG, use el siguiente comando (sustituya <rpm-file> con el nombre de archivo de su paquete RPM):

rpm -K <rpm-file>

Si todo va bien, verá el siguiente mensaje: md5 gpg OK. Esto significa que el paquete no está dañado.

	Sugerencia
	Para más información sobre GnuPG, lea el Apéndice B.