Utilisant GPG et Md5sum pour vérifier des signatures sur des paquets de Tarball

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Suivez ces étapes pour vérifier la signature d'un tarball gzipped :

1. Ajoutez la clef publique de la personne ou de l'organisation qui ont créé le paquet.

2. Signez la clef publique utilisant GPG.You peut l'une ou l'autre utilisation GPG --signez la commande, ou vous pouvez entrer le mode interactif de GPG.

3. Une fois que vous avez ajouté et avez signé la clef publique de la personne qui possède le paquet, sélectionnez la commande suivante : gpg --vérifiez signaturefile.tar.gz taballpackage.gz.

Vous recevrez alors un message l'un ou l'autre que la signature est bonne, ou que la clef publique ne peut pas être trouvée. Si la clef publique ne peut pas être trouvée, vous devez obtenir une autre clef publique, ou vous ne pourrez pas vérifier qui possède le paquet.

Utilisant Md5sum

Parfois, un réalisateur emploiera la commande de md5sum de produire d'un gâchis du dossier. Vous pouvez employer ce gâchis et la commande de md5sum de s'assurer que le dossier n'a pas été changé. La manière la plus facile de faire ceci est de lire le gâchis dont le réalisateur a produit, téléchargent la binaire en question, et puis courent md5sum contre elle.

Par exemple, supposez que vous apprenez que le démon de wu-ftpd (le démon responsable de fournir le ftp sur beaucoup d'emplacements) a un problème de sécurité. Vous souhaitez installer la dernière version bloquée. Après le téléchargement elle, vous courent md5sum contre le dossier :

md5sum wu-ftpd-2.8.1-6.i386.rpm
t412cfhh5bf1376cia9da6c5dd86a463 wu-ftpd-2.6.1-6.i386.rpm

Cependant, vous notez que la valeur du md5sum du réalisateur pour le même programme lit comme suit :

y415cfgz5bf1356cib8da6c5dd8da0k5

Vous devriez alors supprimer le dossier et trouver une autre source où vous pouvez vérifier le gâchis de md5sum.

un article a soumis par Greg Pregovia


Déni : Notre site Web n'est pas responsable de l'information contenue par cet article. Cet article reflète nullement les points de vue, les avis, les pensées ou la croyance du personnel d'annuaire d'articles.
Notification de traduction : L'article « utilisant GPG et Md5sum pour vérifier des signatures sur des paquets de Tarball » a été traduit utilisant un service de traduction automatisé. Nous faisons des excuses sincèrement pour toutes les erreurs de traduction qui ont pu s'être produites. Merci de votre arrangement.


Online: 1250 users browsing the articles directory