Chaque fois que nous téléchargeons le image pour effectuer la installation de certains distribution importante vérifier les erreurs et que c'est l'image qu'elle est censée être. Ce dernier peut facilement être fait en vérifiant la signature GPG.
Dans cet article, nous expliquerons comment vérifier la signature GPG des images de openSUSE. Pour l'élaboration du guide, nous utiliserons la version openSUSE-12.3-DVD-i586.iso, bien que la procédure puisse être extrapolée à l'une des autres versions disponibles. On suppose également que l'une des versions précédentes de la distribution (12.2) est utilisée.
La première chose à faire est de savoir quelle clé a été utilisée pour la signature. Pour cela, nous téléchargeons le fichier ASC (disponible sur la même page de téléchargement) correspondant à notre image, plaçons les deux fichiers dans le même répertoire et exécutons:
gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso
Il renverra quelque chose de similaire à ceci:
gpg: signé le jeu 07 mars 2013 09:35:40 CST à l'aide de la clé RSA ID 3DBDC284 gpg: impossible de vérifier la signature: pas de clé publique
La clé est "3DBDC284". En tenant compte de cela, nous procédons ensuite à son importation:
gpg --import /usr/lib/rpm/gnupg/keys/gpg-pubkey-3dbdc284-4be1884d.asc
Le système nous informera que nous avons importé la clé avec succès:
gpg: clé 3DBDC284: clé publique "clé de signature de projet openSUSE" importée gpg: quantité totale traitée: 1 gpg: importée: 1 (RSA: 1)
D'autres clés sont disponibles sur l'itinéraire:
/usr/lib/rpm/gnupg/keys/
Une fois cela fait, nous pouvons vérifier l'empreinte digitale de la clé si nous le souhaitons:
gpg --fingerprint 3DBDC284
Il nous renverra ce qui suit:
pub 2048R / 3DBDC284 2008/11/07 [expire: 2014/05/04] Empreinte de la clé = 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284 uid Clé de signature de projet openSUSE
Enfin nous vérifions, maintenant oui, que la signature est correcte. Pour cela, nous devrons réexécuter la commande à partir de la première étape:
gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso
Cette fois, cela nous donnera un résultat réussi:
gpg: Signé le Thu 07 Mar 2013 09:35:40 CST en utilisant la clé RSA ID 3DBDC284 gpg: Signature correcte de "OpenSUSE Project Signing Key" gpg: ATTENTION: Cette clé n'est pas certifiée par une entreprise de confiance! gpg: Rien n'indique que la signature appartient au propriétaire. Empreintes de clé primaire: 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284
Plus d'informations - Liste des référentiels dans openSUSE, Installation de packages dans openSUSE