Vérification de la signature d'un paquetage

Si vous désirez vous assurer qu'un paquetage n'a pas été corrompu ou manipulé, vous n'avez qu'à examiner la somme MD5 en entrant la commande suivante à l'invite du shell (remplacez coolapp par le nom de fichier de votre paquetage RPM) :
rpm --checksig --nogpg coolapp-1.1-1.rpm
Le message coolapp-1.1-1.rpm: md5 OK s'affiche. Ce petit message signifie que le fichier n'a pas été endommagé par le téléchargement.

Toutefois, quelle est la fiabilité du développeur du paquetage ? Si le paquetage est signé à l'aide de la clé GnuPG du développeur, vous savez au moins que le développeur est celui qu'il prétend être.

Un paquetage RPM peut être signé à l'aide de Gnu Privacy Guard (ou GnuPG), pour en assurer la fiabilité lors d'un téléchargement.

GnuPG est un outil permettant de sécuriser les communications ; il s'agit d'un outil de remplacement complet et gratuit de la technologie de cryptage de PGP, un programme de protection électronique de l'information. Avec GnuPG, vous pouvez authentifier la validité de documents, crypter et décrypter des données à destination ou en provenance de vos correspondants. Cet outil peut également décrypter et vérifier des fichiers PGP 5.x.

Durant l'installation de Red Hat Linux, GnuPG est installé par défaut. Ainsi, vous pouvez commencer immédiatement à utiliser GnuPG pour vérifier les paquetages que vous recevez de Red Hat. Vous devez d'abord importer la clé publique de Red Hat.

Importation de clés

Lorsque vous importez une clé publique, vous l'ajoutez dans votre porte-clés (le fichier dans lequel vous gardez les clés publiques et privées). Ensuite, lorsque vous téléchargez un document ou un fichier depuis un correspondant, vous pouvez vérifier la validité du document ou du fichier à l'aide des clés faisant partie de votre porte-clés.

Utilisez l'option --import pour importer une clé. Pour illustrer tout cela, téléchargez et importez la clé publique de Red Hat. Ainsi, chaque fois que vous voudrez vérifier la validité d'un paquetage de Red Hat, vous pourrez le faire au moyen de la clé importée.

Vous trouverez la clé de Red Hat à l'adresse Web http://www.redhat.com/about/contact.html. A l'aide de votre navigateur, téléchargez la clé en appuyant sur la touche Shift lorsque vous cliquez sur le lien de téléchargement, puis cliquez sur le bouton OK pour enregistrer le fichier (par exemple redhat2.asc). Ensuite, à l'invite du shell, importez la clé en entrant la commande suivante :

gpg --import redhat2.asc

Le message qui en résulte vous indique que la clé a été traitée. Pour vérifier si elle a bien été ajoutée, entrez gpg --list-keys. Vous verrez ainsi la clé que vous venez de télécharger de même que vos propres clés.

[newuser@localhost newuser]$ gpg --list-keys
/home/newuser/.gnupg/pubring.gpg
-----------------------------------------
pub  1024D/DB42A60E 1999-09-23 Red Hat, Inc <security@redhat.com>
sub  2048g/961630A2 1999-09-23

TuyauLes clés ne sont pas nécessairement des liens
 

Parfois il est impossible de télécharger une clé à partir d'un lien. Les clés sont des fichiers texte. Elles peuvent donc être importées sur votre ordinateur de la même façon qu'un fichier texte peut être enregistré. Tant que vous connaissez le nom et l'emplacement du fichier enregistré, vous pouvez l'importer vers votre porte-clés.

Vérification des paquetages

Pour vérifier la signature GnuPG d'un fichier RPM après avoir importé la clé GnuPG de son créateur, utilisez la commande suivante (remplacez coolapp par le nom de fichier de votre paquetage RPM) :
rpm --checksig coolapp-1.1-1.rpm
Si tout se passe bien, le message md5 gpg OK s'affiche, ce qui signifie que le paquetage n'est pas corrompu.

Informations supplémentaires sur GnuPG

Pour obtenir plus d'informations sur GnuPG, reportez-vous à l'Annexe A.