Red Hat Linux 7.1: Official Red Hat Linux Customization Guide
AnteriorCapítulo 17. La administración de paquetes con RPMSiguiente

El control de la firma del paquete

Si desea verificar si algún paquete ha sido dañado o alterado examine sólo la suma md5 tecleando el siguiente comando en un indicador de comandos de shell (sustituya coolapp con el nombre de fichero de su paquete RPM): 
rpm --checksig --nogpg coolapp-1.1-1.rpm
Aparecerá el mensaje coolapp-1.1-1.rpm: md5 OK. Este breve mensaje significa que el fichero no ha sido dañado al momento de la descarga.

Por otra parte, ¿cuánto es de fiable el desarrollador que creó el paquete? Si el paquete está firmado con la clave GnuPG del desarrollador, sabrá que el desarrollador de verdad es quien dice ser.

Se puede firmar un paquete RPM usando la Gnu Privacy Guard (o GnuPG), para ayudarle a asegurarse que el paquete descargado es de fiar.

GnuPG es una herramienta para comunicación segura; reemplaza completa y gratuitamente la tecnología de encriptación de PGP, un programa electrónico de privacidad. Con GnuPG usted puede autentificar la validez de los documentos y encriptar/descifrar datos de y hacia otros destinatarios. Además, GnuPG es capaz de descifrar y verificar ficheros PGP 5.x.

GnuPG se instala por defecto a la hora de instalar Red Hat Linux. De este modo puede iniciar a usar GnuPG inmediatamente para verificar cualquier paquete que reciba de Red Hat. Primero necesitará importar la clave pública de Red Hat.

La importación de claves

Cuando importa una clave pública, añade esa clave a su llavero (un fichero en el cual se conservan las claves públicas y secretas). Luego, cuando descargue un documento o fichero de esa entidad, puede controlar la validez de ese documento con la clave que ha añadido a su llavero.

Use la opción --import para importar una clave. Para demostrar, descargue e importe claves públicas Red Hat. De esa manera, cada vez que desee controlar la validez de un paquete de Red Hat podrá hacerlo haciendo la comparación con la clave que ha obtenido.

Puede encontrar la clave de Red Hat enhttp://www.redhat.com/about/contact.html. Utilizando su navegador, descargue la clave oprimiendo la tecla de Mayús mientras pulsa sobre el enlace de descarga, y luego pulse sobre el botón OK para almacenar el fichero (redhat2.asc, por ejemplo). Cuando aparezca el indicador de comandos de shell, importe la clave con el siguiente comando: 

gpg --import redhat2.asc

Como resultado aparecerá un mensaje diciendo que la clave ha sido elaborada. Teclee gpg --list-keys para controlar si la clave ha sido añadida. Verá la clave que acaba de descargar desde Red Hat además de sus propias claves. 

[newuser@localhost newuser]$ gpg --list-keys
/home/newuser/.gnupg/pubring.gpg
-----------------------------------------
pub  1024D/DB42A60E 1999-09-23 Red Hat, Inc <security@redhat.com>
sub  2048g/961630A2 1999-09-23

SugerenciaLas claves no tienen que ser enlaces
 

De vez en cuando no le será posible descargar claves desde un enlace. Las claves son ficheros de texto, de modo que se pueden transferir a su máquina de cualquier manera en que se almacena un normal fichero de texto. Mientras sepa el nombre y ubicación del fichero que ha almacenado podrá importarlo a su llavero.

La verificación de paquetes

Para controlar la firma GnuPG de un fichero RPM después de importar la clave del constructor GnuPG, use el siguiente comando (sustituya coolapp con el nombre de fichero de su paquete RPM): 
rpm --checksig coolapp-1.1-1.rpm
Si todo va bien, verá el siguiente mensaje: md5 gpg OK. Esto significa que el paquete no está dañado.

Más información sobre GnuPG

Para obtener más información sobre GnuPG, consulte Apéndice A.

AnteriorInicioSiguiente
El uso de RPMSubirImpresione a sus amigos con RPM