Hver gang vi downloader billede at udføre installation af nogle fordeling det er vigtigt Kontroller for fejl og at det er det billede, det skal være. Sidstnævnte kan let gøres ved at verificere GPG-signaturen.
I dette indlæg vil vi forklare hvordan bekræft GPG-signatur af billederne af openSUSE. Til udarbejdelsen af guiden bruger vi versionen openSUSE-12.3-DVD-i586.iso, selvom proceduren kan ekstrapoleres til en hvilken som helst af de andre tilgængelige versioner. Det antages også, at en af de tidligere versioner af distributionen (12.2) anvendes.
Den første ting er at finde ud af, hvilken nøgle der er brugt til signaturen. Til dette formål downloader vi ASC-filen (tilgængelig på samme download-side) svarende til vores billede, placerer begge filer i samme bibliotek og udfører:
gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso
Det vil returnere noget svarende til dette:
gpg: Underskrevet Thu 07 Mar 2013 09:35:40 CST ved hjælp af RSA ID-nøgle 3DBDC284 gpg: Kan ikke bekræfte signatur: Ingen offentlig nøgle
Nøglen er "3DBDC284". Under hensyntagen til dette fortsætter vi med at importere det:
gpg --import /usr/lib/rpm/gnupg/keys/gpg-pubkey-3dbdc284-4be1884d.asc
Systemet informerer os om, at vi har importeret nøglen med succes:
gpg: nøgle 3DBDC284: offentlig nøgle "openSUSE Project Signing Key" importeret gpg: Samlet forarbejdet mængde: 1 gpg: importeret: 1 (RSA: 1)
Andre taster er tilgængelige på ruten:
/usr/lib/rpm/gnupg/keys/
Når dette er gjort, kan vi bekræfte nøglens fingeraftryk, hvis vi ønsker det:
gpg --fingerprint 3DBDC284
Det vil returnere følgende til os:
pub 2048R / 3DBDC284 2008-11-07 [udløber: 2014-05-04] Nøglefingeraftryk = 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284 uid openSUSE Project Signing Key
Endelig bekræfter vi nu ja, at signaturen er korrekt. Til dette bliver vi nødt til at udføre kommandoen igen fra det første trin:
gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso
Denne gang vil det give os et vellykket resultat:
gpg: Underskrevet tors 07 mar 2013 09:35:40 CST ved hjælp af RSA ID-nøgle 3DBDC284 gpg: Korrekt underskrift af "openSUSE Project Signing Key" gpg: OBS: Denne nøgle er ikke certificeret af et betroet firma! gpg: Der er ingen indikation på, at signaturen tilhører ejeren. Primære nøglefingeraftryk: 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284
Mere information - Notering af arkiver i openSUSE, Installation af pakker i openSUSE