check-update
Maurizio Paolini
paolini a dmf.unicatt.it
Ven 7 Mar 2003 17:54:48 UTC
> From: Enrico Colombini <erix a erix.it>
>
> On Friday 07 March 2003 01:02, Maurizio Paolini wrote:
> > la verifica della firma viene fatta automaticamente quando installi,
> > questo dall'ultima versione di rpm. Ovviamente devi preventivamente
> > ed una tantum installare la chiave pubblica
> >
> > rpm --import <PUBKEY>
>
> Il manuale di RedHat, tutt'altro che chiaro in materia, parla di PGP; suppongo
> vada letto come GPG? Io non ho la minima esperienza in fatto di crittografia
Si tratta di GPG, infatti. Penso che comunque ci sia compatibilita' con
chiavi PGP.
> e non saprei da che parte cominciare: basta l'operazione di cui sopra? E poi
> devo fare "rpm -K" sui nuovi pacchetti o lo fa lui da solo quando installa?
Con l'ultima versione il controllo lo fa lui da solo. Infatti finche' non
"importi" la chiave privata dovrebbe comparirti un warning ad ogni
installazione. Se non ti compare vuol dire che non hai l'ultima versione
di rpm (e' la 4.1).
> Perche' la chiave pubblica di RedHat non e' gia' inserita in fase di
> installazione?
Semplicemente per un motivo di sicurezza. Sarebbe stupido farlo poiche' in
tal modo se i CD (o le immagini iso) sono state manipolate, potrebbe
esserlo anche la chiave pubblica. E' responsabilita' dell'utente essere
decentemente sicuro che la chiave pubblica che "importa" sia di origine
sicura (oppure uno fa un double-check con quello che c'e' sul sito di
redhat e magari su un po' di mirrors).
mp
Maggiori informazioni sulla lista
Lug
|
