15.3. Проверка подписи пакета

Если вы хотите удостовериться в том, что пакет не был испорчен или повреждён, проверьте только сумму md5, выполнив в командной строке следующую команду (замените <rpm-file> именем файла RPM-пакета):

rpm -K --nosignature <rpm-file>

На экране появляется сообщение <rpm-file>: md5 OK. Это короткое сообщение означает, что файл не был поврежден во время загрузки. Чтобы увидеть более подробное сообщение, замените в этой команде -K на -Kvv.

С другой стороны, насколько вы доверяете разработчику, создавшему пакет? Если пакет подписан GnuPG-ключом разработчика, вы узнаете, что разработчик именно тот, за кого себя выдаёт.

RPM-пакет может быть подписан с помощью программы Gnu на защите конфиденциальности (Privacy Guard, GnuPG), что поможет вам убедиться в том, что загруженный пакет заслуживает доверия.

GnuPG — это программа для безопасного обмена информацией; она является полной и бесплатной заменой технологии шифрования PGP — программы для обеспечения конфиденциальности. Используя GnuPG, вы можете проверять подлинность документов, а также зашифровывать/расшифровывать передаваемые и принимаемые данные. GnuPG также может проверять и расшифровывать файлы PGP 5.x.

По умолчанию GnuPG устанавливается при установке системы. Поэтому вы можете сразу воспользоваться GnuPG для проверки любых пакетов, полученных от Red Hat. Но сначала вы должны импортировать открытый ключ Red Hat.

rpm --import /usr/share/rhn/RPM-GPG-KEY

rpm -qa gpg-pubkey*

gpg-pubkey-db42a60e-37ea5438

rpm -qi gpg-pubkey-db42a60e-37ea5438

rpm -K <rpm-file>