Verifica della "firma" di un pacchetto

Per verificare se un pacchetto � stato danneggiato, esaminate l'md5sum digitando il comando seguente al prompt della shell (sostituite <file-rpm> con il nome del file del pacchetto RPM):

rpm -K --nogpg <rpm-file>

Compare a video il messaggio <file-rpm>: md5 OK. Questo breve messaggio indica che il file non � stato danneggiato durante il trasferimento. Per un messaggio pi� dettagliato, sostituite -K con -Kvv nel comando.

Ci si pu� per� fidare dello sviluppatore del pacchetto? Se il pacchetto � firmato dalla chiave GnuPG dello sviluppatore, allora quest'ultimo � veramente chi dice di essere.

I pacchetti RPM possono essere firmati tramite la Gnu Privacy Guard (o GnuPG) che consente di capire se il pacchetto che avete scaricato � sicuro.

GnuPG, un tool libero per la comunicazione sicura, sostituisce la tecnologia di cifratura PGP, un programma elettronico privato. Grazie a GnuPG, potete autenticare la validit� di documenti e cifrare/decifrare dati da e verso altri destinatari. GnuPG � in grado di decifrare e verificare anche i file PGP 5.x.

Poich�, durante l'installazione di Red Hat Linux, GnuPG viene installato per default, potete subito iniziare a utilizzarlo per verificare i pacchetti che ricevete da Red Hat. Per prima cosa, dovete importare la chiave pubblica di Red Hat.

rpm --import /usr/share/rhn/RPM-GPG-KEY

rpm -qa gpg-pubkey*

gpg-pubkey-db42a60e-37ea5438

rpm -qi gpg-pubkey-db42a60e-37ea5438

Verifica della firma dei pacchetti

Per verificare la firma GnuPG di un file RPM dopo avere importato la chiave GnuPG del costruttore, digitate il comando seguente (sostituite <file-rpm> con il nome di file del vostro pacchetto RPM):

rpm -K <rpm-file>

Se l'operazione va a buon fine, compare a video il messaggio: md5 gpg OK, che indica che la firma del pacchetto � stata verificata e che non � danneggiato.

	Suggerimento
	Per altre informazioni su GnuPG, consultate il Appendice B.