16.3. Vérification de la signature d'un paquetage

Si vous désirez vous assurer qu'un paquetage n'a pas été corrompu ou manipulé, vous n'avez qu'à examiner la somme MD5 en entrant la commande suivante à l'invite du shell (remplacez <rpm-file> par le nom de fichier du paquetage RPM) :

rpm -K --nogpg <rpm-file>

Le message <rpm-file>: md5 OK s'affiche à l'écran. Ce court message indique que le fichier n'a pas été corrompu par le téléchargement. Pour obtenir un message plus détaillé, remplacez -K par -Kvv dans la commande.

Toutefois, à quel point le développeur du paquetage est-il fiable ? Si le paquetage est signé à l'aide de la clé GnuPG du développeur, vous avez l'assurance que le développeur est bien celui qu'il prétend être.

Un paquetage RPM peut être signé à l'aide de Gnu Privacy Guard (ou GnuPG), pour en assurer la fiabilité lors d'un téléchargement.

GnuPG est un outil permettant de sécuriser les communications ; il s'agit d'un outil de remplacement complet et gratuit de la technologie de cryptage de PGP, un programme de protection électronique de l'information. Avec GnuPG, vous pouvez authentifier la validité de documents, crypter et décrypter des données à destination ou en provenance de vos correspondants. Cet outil peut également décrypter et vérifier des fichiers PGP 5.x.

Lors de l'installation, GnuPG est installé par défaut. Ainsi, vous pouvez commencer immédiatement à utiliser GnuPG pour vérifier les paquetages que vous recevez de Red Hat. Vous devez d'abord importer la clé publique de Red Hat.

16.3.1. Importation de clés

Pour vérifier des paquetages Red Hat, vous devez importer la clé Red Hat GPG. Pour ce faire, exécutez la commande suivante à une invite de shell :

rpm --import /usr/share/rhn/RPM-GPG-KEY

Pour afficher une liste de toutes les clés installées pour une vérification RPM, exécutez la commande :

rpm -qa gpg-pubkey*

Pour la clé Red Hat, la sortie comprendra les éléments suivants :

gpg-pubkey-db42a60e-37ea5438

Pour afficher des détails sur une clé spécifique, utilisez rpm -qi suivie de la sortie de la commande précédente :

rpm -qi gpg-pubkey-db42a60e-37ea5438

16.3.2. Vérification de la signature de paquetages

Pour vérifier la signature GnuPG d'un fichier RPM après avoir importé la clé GnuPG du constructeur, utilisez la commande suivante (remplacez <rpm-file> par le nom de fichier du paquetage RPM) :

rpm -K <rpm-file>

Si tout se passe bien, le message : md5 gpg OK apparaîtra à l'écran pour indiquer que la signature du paquetage a été vérifiée et qu'il n'est pas corrompu.