15.3. パッケージの署名の確認
パッケージが破損していないか、改ざんされていないことを確認する場合は、シェルプロンプトで以下のコマンドを入力して md5sum のみを確認します(RPM パッケージのファイル名は <rpm- file> です)。
rpm -K --nosignature <rpm-file>
<
rpm-file> : md 5 OK
というメッセージが表示されます。この簡単なメッセージは、ファイルのダウンロードによって破損されなかったことを意味します。より詳細なメッセージを表示するには、コマンドの -K
を -Kvv
に置き換えます。
一方、パッケージを作成した開発者だけに信頼する方法。パッケージが開発者の GnuPG キー で 署名 されている場合、開発者がそれらが本人であることがわかっていることが分かります。
RPM パッケージは、ダウンロードしたパッケージに信頼できるものにするために、Gnu Privacy Guard (または GnuPG)を使用して署名できます。
GnuPG は、安全な通信を行うためのツールです。これは、電子プライバシープログラムである PGP の暗号化テクノロジーの完全な置換です。GnuPG を使用すると、ドキュメントの有効性を認証し、他の受信者との間でデータを暗号化/復号化できます。GnuPG は PGP 5.x ファイルを復号および検証することもできます。
インストール時に、ART はデフォルトでインストールされます。これにより、Red Hat から受け取るパッケージを確認できるようにするために GnuPG の使用をすぐに開始できます。まず、Red Hat の公開鍵をインポートする必要があります。
15.3.1. キーのインポート
Red Hat パッケージを検証するには、Red Hat GPG キーをインポートする必要があります。これを行うには、シェルプロンプトで以下のコマンドを実行します。
rpm --import /usr/share/rhn/RPM-GPG-KEY
RPM 検証用にインストールされた鍵の一覧を表示するには、以下のコマンドを実行します。
rpm -qa gpg-pubkey*
Red Hat キーの出力には、以下が含まれます。
gpg-pubkey-db42a60e-37ea5438
特定のキーの詳細を表示するには、rpm -qi の後に直前のコマンドの出力を使用します。
rpm -qi gpg-pubkey-db42a60e-37ea5438