Sempre que descarreguem la imatge per realitzar la instal · lació d'alguna distribució és important verificar que no contingui errors i que es tracti de la imatge que se suposa és. Això últim pot fer-se fàcilment verificant la signatura GPG.
En aquesta entrada explicarem com verificar la signatura GPG de les imatges de openSUSE. Per a l'elaboració de la guia utilitzarem la versió openSUSE-12.3-DVD-i586.iso, Encara que el procediment es pot extrapolar a qualsevol de les altres versions disponibles. Es parteix a més de l'supòsit que s'utilitza alguna de les versions prèvies de la distribució (12.2).
El primer és esbrinar quina clau s'ha utilitzat per a la signatura. Per a tal efecte descarreguem l'arxiu ASC (disponible a la mateixa pàgina de descàrregues) corresponent a la nostra imatge, col·loquem tots dos arxius en el mateix directori i executem:
gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso
Ens retornarà alguna cosa similar a això:
gpg: Signat el dj 07 març 2013 09:35:40 CST usant clau RSA ID 3DBDC284 gpg: Impossible comprovar la signatura: No public key
La clau és «3DBDC284». Tenint en compte procedim llavors a importar:
gpg --import /usr/lib/rpm/gnupg/keys/gpg-pubkey-3dbdc284-4be1884d.asc
El sistema ens informarà que hem importat la clau amb èxit:
gpg: clau 3DBDC284: clau pública "openSUSE Project Signing Key" importada gpg: Quantitat total processada: 1 gpg: importades: 1 (RSA: 1)
Altres claus de troben disponibles a la ruta:
/usr/lib/rpm/gnupg/keys/
Fet l'anterior podem verificar l'empremta de la clau si així ho desitgem:
gpg --fingerprint 3DBDC284
Ens retornarà el següent:
pub 2048R / 3DBDC284 2008-11-07 [caduca: 2014] Petjada de clau = 05C04 22BA0 7 5CD3417 8EFE 0AA B2B 22FD88 2DBD C4 uid openSUSE Project Signing Key
Finalment verifiquem, ara sí, que la signatura sigui la correcta. Per això haurem de tornar a executar la comanda de el primer pas:
gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso
Aquesta vegada ens donarà un resultat reeixit:
gpg: Signat el dj 07 març 2013 09:35:40 CST usant clau RSA ID 3DBDC284 gpg: Signatura correcta de "openSUSE Project Signing Key" gpg: ATENCIÓ: Aquesta clau no està certificada per una signatura de confiança! gpg: No hi ha indicis que la signatura pertanyi a l'propietari. Empremtes dactilars de la clau primària: 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284
Més informació - Llistant repositoris en openSUSE, Instal·lació de paquets en openSUSE