16.3. Überprüfen der Signatur eines Pakets

Wenn Sie überprüfen möchten, dass ein Paket unbeschädigt ist, prüfen Sie lediglich die MD5-Summe. Geben Sie hierzu den folgenden Befehl am Shell-Prompt ein (<rpm-file> mit dem Dateinamen Ihres RPM-Pakets):

rpm -K --nogpg <rpm-file>

Es erscheint die Meldung <rpm-file>: md5 OK. Diese kurze Meldung gibt an, dass die Datei beim Herunterladen nicht beschädigt wurde. Soll die Meldung ausführlicher erscheinen, ersetzen Sie im Befehl -K mit -Kvv.

Aber wie vertrauenswürdig ist der Entwickler des Pakets? Nur wenn das Paket mit dem GnuPG Schlüssel des Entwicklers signiert wurde, wissen Sie, dass das Paket wirklich vom angegebenen Entwickler stammt.

Ein RPM-Paket kann mithilfe des Gnu Privacy Guard(oder GnuPG) signiert werden, was sicherstellt, dass das heruntergeladene Paket "vertrauenswürdig" ist.

GnuPG ist ein Tool für sichere Kommunikation und stellt einen umfassenden und freien Ersatz für die Verschlüsselungstechnologie von PGP, einem elektronischem Privacy-Programm dar. Mit GnuPG können Sie die Echtheit von Dokumenten überprüfen und Daten für den Austausch mit anderen Benutzern verschlüsseln und entschlüsseln. Das Tool ist auch in der Lage, PGP5.x Dateien zu entschlüsseln und zu überprüfen.

Bei der Installation wird GnuPG standardmäßig installiert. Sie können somit GnuPG sofort verwenden, um alle Pakete zu überprüfen, die Sie von Red Hat erhalten haben. Zunächst müssen Sie den öffentlichen Schlüssel von Red Hat importieren.

16.3.1. Importieren von Schlüsseln

Zur Überprüfung offizieller Red Hat Pakete müssen Sie den Red Hat GPG-Schlüssel importieren. Führen Sie dazu folgenden Befehl an einem Shell-Prompt aus:

rpm --import /usr/share/rhn/RPM-GPG-KEY

Um eine Liste aller zur RPM-Prüfung installierten Schlüssel anzuzeigen, führen Sie folgenden Befehl aus:

rpm -qa gpg-pubkey*

Für den Red Hat Schlüssel schließt die Ausgabe Folgendes mit ein:

gpg-pubkey-db42a60e-37ea5438

Verwenden Sie rpm -qi um Details zu einem bestimmten Schlüssel anzuzeigen, gefolgt von der Ausgabe des vorhergehenden Befehls:

rpm -qi gpg-pubkey-db42a60e-37ea5438

16.3.2. Prüfen von Paketen

Um die GnuPG-Signatur einer RPM-Datei zu prüfen, nachdem der GnuPG-Schlüssel des Herstellers importiert wurde, geben Sie den folgenden Befehl ein (ersetzen Sie <rpm-file> mit dem Dateinamen des RPM-Paketes):

rpm -K <rpm-file>

Verläuft der Vorgang problemlos, erscheint die folgende Meldung: md5 gpg OK. Dies bedeutet, dass die Signatur des Paketes geprüft wurde und es unbeschädigt ist.