Cómo importar claves PGP de paquetes RPM


¿Por qué es necesario comprobar la clave pública de un RPM?
La firma confirma que el paquete fue firmado por una parte autorizada y también confirmar la integridad y el origen de su archivo. Es extremadamente importante verificar la firma de los archivos RPM antes de instalarlos para asegurar que que no han sido alteradas de la fuente original de los paquetes.

Verificando la firma de un paquete
El comando --checksig (o -K) checa todas opciones de los resúmenes y las firmas que figuran en el paquete para asegurar la integridad y origen del del mismo.
Si desea verificar que un paquete no ha sido dañado o alterado, examinar únicamente la suma md5 tecleando el siguiente comando:
rpm -K --nosignature <paquete-rpm>
Al finalizar el comando, debe mostrar un mensaje confirmación que todo está bien, por ejemplo un OK, o Todo está bien. Esto mensaje significa que el archivo no fue corrompido por la descarga. Para ver un mensaje más detallado, reemplace -K por -Kvv en el comando.

Por otro lado, qué tan confiable es el desarrollador que creó el paquete? si
el paquete está firmado con la clave GnuPG del desarrollador, usted sabe que el desarrollador
realmente es quien dice ser.

Un paquete RPM se puede firmar usando Gnu Privacy Guard (o GnuPG), para ayudarle a asegurarse de que su paquete descargado es de confianza. GnuPG es una herramienta para una comunicación segura; es un reemplazo completo y gratuito para el cifrado de PGP, un programa electrónico de privacidad. 

Con GnuPG, puede autenticar la validez de los documentos y encriptar/desencriptar datos desde y hacia otros destinatarios. GnuPG es capaz de descifrar y verificar archivos PGP 5.x también.
 
Durante la instalación de un paquete, GnuPG se instala por defecto. De esa manera usted puede inmediatamente empezar a utilizar GnuPG para verificar cualquier paquete que reciba de CentOS (RHEL/Fedora).  

Antes de hacerlo, debe importar primero la clave pública del paquete. Para importar una clave, se usa el comando siguiente:
rpm -qa gpg-pubkey*
Básicamente, para importar la clave de un paquete, se usa:
rpm --import http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

Y eso es todo, para realizar la comprobación de un paquete a grandes rasgos.


Comentarios:

@