Red Hat Linux 9: Guide de personnalisation de Red Hat Linux
PrécédentChapitre 32. Gestion des paquetages à l'aide de RPMSuivant

32.3. Vérification de la signature d'un paquetage

Si vous désirez vous assurer qu'un paquetage n'a pas été corrompu ou manipulé, vous n'avez qu'à examiner la somme MD5 en entrant la commande suivante à l'invite du shell (remplacez <fichier-rpm> par le nom de fichier du paquetage RPM): 

rpm -K --nogpg <rpm-file>

Le message <fichier-rpm>: md5 OK s'affiche. Ce petit message signifie que le fichier n'a pas été endommagé par le téléchargement. Pour voir un message plus détaillé, remplacez -K par -Kvv dans la commande.

Toutefois, quelle est la fiabilité du développeur du paquetage ? Si le paquetage est signé à l'aide de la clé GnuPG du développeur, vous savez au moins que le développeur est celui qu'il prétend être.

Un paquetage RPM peut être signé à l'aide de Gnu Privacy Guard (ou GnuPG), pour en assurer la fiabilité lors d'un téléchargement.

GnuPG est un outil permettant de sécuriser les communications ; il s'agit d'un outil de remplacement complet et gratuit de la technologie de cryptage de PGP, un programme de protection électronique de l'information. Avec GnuPG, vous pouvez authentifier la validité de documents, crypter et décrypter des données à destination ou en provenance de vos correspondants. Cet outil peut également décrypter et vérifier des fichiers PGP 5.x.

Durant l'installation de Red Hat Linux, GnuPG est installé par défaut. Ainsi, vous pouvez commencer immédiatement à utiliser GnuPG pour vérifier les paquetages que vous recevez de Red Hat. Vous devez d'abord importer la clé publique de Red Hat.

32.3.1. Importation de clés

Pour vérifier des paquetages Red Hat, vous devez importer la clé Red Hat GPG. Pour ce faire, exécutez la commande suivante à une invite de shell: 

rpm --import /usr/share/rhn/RPM-GPG-KEY

Pour afficher une liste de toutes les clés installées pour une vérification RPM, exécutez la commande: 

rpm -qa gpg-pubkey*

Pour la clé Red Hat, la sortie comprendra: 

gpg-pubkey-db42a60e-37ea5438

Pour afficher des détails sur une clé spécifique, utilisez rpm -qi suivie de la sortie de la commande précédente: 

rpm -qi gpg-pubkey-db42a60e-37ea5438

32.3.2. Vérification de la signature de paquetages

Pour vérifier la signature GnuPG d'un fichier RPM après avoir importé la clé GnuPG du constructeur, utilisez la commande suivante (remplacez <fichier-rpm> par le nom de fichier du paquetage RPM): 

rpm -K <rpm-file>

Si tout se passe bien, vous verrez le message: md5 gpg OK. Cela signifie que la signature du paquetage a été vérifiée et qu'il n'est pas corrompu.

TuyauAstuce
 

Pour obtenir davantage d'informations sur GnuPG, consultez l'Annexe B.

PrécédentSommaireSuivant
Utilisation de RPMNiveau supérieurÉtonnez vos amis avec RPM