12.3. パッケージの署名の確認
パッケージが破損していない、または改ざんされていないことを確認する場合は、シェルプロンプトで以下のコマンドを入力して md5sum のみを調べます。< rpm-file > は RPM パッケージのファイル名に置き換えます。
rpm -K --nosignature <rpm-file>
メッセージ <
;rpm-file>: md5 OK
が表示されます。この簡単なメッセージは、ダウンロードによってファイルが破損していないことを意味します。詳細なメッセージを表示するには、コマンドで -K
を -Kvv
に置き換えます。
一方、信頼できるのは、このパッケージを作成した開発者がどのようなものですか ?パッケージが開発者の GnuPG キー で 署名 されている場合、開発者が実際にその人であることが分かります。
RPM パッケージは、ダウンロードしたパッケージを確実に信頼できるものにするために、Gnu Privacy Guard (または GnuPG)を使用して署名できます。
GnuPG はセキュアな通信を行うためのツールです。これは、電子プライバシープログラムである PGP の暗号化技術を完全かつ無料で置き換えています。GnuPG を使用すると、ドキュメントの有効性を認証し、他の受信者との間でデータを暗号化/復号化できます。GnuPG は PGP 5 のx ファイルも復号化および検証できます。
インストール時に、GnuPG はデフォルトでインストールされます。これにより、GnuPG をすぐに使用し、Red Hat から受け取ったパッケージを検証することができます。この作業を行う前に、まず Red Hat の公開鍵をインポートする必要があります。
12.3.1. キーのインポート
Red Hat パッケージを確認するには、Red Hat GPG キーをインポートする必要があります。これを行うには、シェルプロンプトで以下のコマンドを実行します。
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
RPM 検証用にインストールされた鍵の一覧を表示するには、以下のコマンドを実行します。
rpm -qa gpg-pubkey*
Red Hat キーの場合、出力には以下が含まれます。
gpg-pubkey-37017186-45761324
特定のキーの詳細を表示するには、rpm -qi の後に直前のコマンドの出力を使用します。
rpm -qi gpg-pubkey-37017186-45761324