パッケージの署名のチェック
パッケージが破損したり不正に変更されたりしていないことを検査する場合、shellプロンプトで以下のコマンドを入力しmd5sumを調べます(coolappの部分を実際のRPMパッケージのファイル名に置き換えてください)。
rpm --checksig --nogpg coolapp-1.1-1.rpm |
一方、パッケージを作成した開発者はどの程度信用できるでしょうか。パッケージに開発者のGnuPGキーと署名があれば、その開発者は信頼できます。
RPMパッケージには、Gnu Privacy Guard(GnuPG)を使用して署名を付加することができ、これによりユーザーはダウンロードしたパッケージが信頼できるものであることを確認することができます。
GnuPGは安全な通信のためのツールで、暗号化技術 PGP(電子プライバシー保護プログラム)を完全に無償で置き換えたものです。GnuPGがあれば、ドキュメントの正当性を認証し、他の受信者との間で送受信するデータを暗号化/復号化することができます。GnuPGでは、PGP 5. xのファイルについても同様に復号化および認証を行うことが可能です。
Red Hat Linuxのインストール時に、GnuPGがデフォルトでインストールされます。このため、Red Hatから入手したパッケージの検査をGnuPGを使用してすぐに始めることができます。最初にRed Hatの公開鍵をインポートする必要があります。
キーのインポート
公開鍵をインポートするときは、そのキーをキーリング(公開鍵と秘密鍵が保存されるファイル)に追加します。そして、そのエンティティからドキュメントやファイルをダウンロードするときに、そのドキュメントの信頼性をキーリングに追加したキーによりチェックすることができます。
キーをインポートするには、--importオプションを使用します。説明のために、Red Hatの公開鍵をダウンロードし、インポートしましょう。これにより、Red Hatのパッケージの信頼性を確認したいときにはいつでも取得したキーによりチェックすることができます。
Red Hatのキーはhttp://www.redhat.com/about/contact.htmlにあります。ブラウザを使用し、Shiftキーを押しながらダウンロードのリンクをクリックしてキーをダウンロードし、[OK]ボタンをクリックしてファイル(たとえばredhat2.asc)を保存します。そして、シェルプロンプトで以下のコマンドを実行し、キーをインポートします。
gpg --import redhat2.asc |
表示されるメッセージによりキーに対する処理が完了したことがわかります。キーが追加されたことをチェックするには、gpg --list-keysと入力します。自分のキーとともにRed Hatからダウンロードしたキーが表示されます。
[newuser@localhost newuser]$ gpg --list-keys /home/newuser/.gnupg/pubring.gpg ----------------------------------------- pub 1024D/DB42A60E 1999-09-23 Red Hat, Inc <security@redhat.com> sub 2048g/961630A2 1999-09-23 |
 | キーは必ずしもリンクから入手する必要はない |
|---|---|
リンクからキーをダウンロードできないときがあります。キーはテキストファイルなので、通常のテキストファイルを保存するあらゆる方法で自分のマシンに取り込むことができます。保存したファイルの名前と場所がわかっていれば、それをキーリングにインポートすることができます。 |
パッケージの検査
開発会社のGnuPGキーをインポートした後、RPMファイルのGnuPGの署名をチェックするには、以下のコマンドを使用します(coolappの部分を実際のRPMパッケージのファイル名に置き換えます)。
rpm --checksig coolapp-1.1-1.rpm |
GnuPGについての詳細情報
GnuPGの詳細については、Appendix Aを参照してください。