Jak sprawdzić poprawność podpisu, Key fingerprint?

[marek353]

Zainstalowałem program z poza oficjalnych źródeł repo Fedory. Jest to aplikacja do obsługi chmury Hubic. Fedora 25 nie posiada własnego źródła dla hubic.
Teraz pytanie:
podczas instalacji terminal wyświetla ostrzeżenie

ostrzeżenie: /var/cache/dnf/madcat-hubic-1819c7db8b37ec4f/packages/hubiC-2.1.0.53-1.fc25.x86_64.rpm: Nagłówek V3 RSA/SHA1 Signature, identyfikator klucza d7cca98a: NOKEY
Importowanie klucza GPG 0xD7CCA98A:
 Identyfikator użytkownika: „madcat_hubic (None) <madcat#[email protected]>”
 Odcisk palca             : BEA3 226A 72C6 FA7C D4AE 4EAE C832 DF44 D7CC A98A
 Z                        : https://copr-be.cloud.fedoraproject.org/results/madcat/hubic/pubkey.gpg
W porządku? [t/N]:

chcąc dokończyć instalację zaakceptowałem oczywiście lecz jak sprawdzić odcisk palca (Key fingerprint)? Trochę to pytanie z gatunku dla newbie ale raczej nie instaluję paczek z nieoficjalnych źródeł stąd moje wątpliwości, jak sprawdzamy poprawność podpisu? 

[developer]

Aby DNF sprawdzał KF za każdym razem, edytuj

/etc/repos.d/fedora-deb.conf

i na końcu dodaj

KEY_FINGERPRINT::yes

 

[marek353]

2 godziny temu, developer napisał:

Aby DNF sprawdzał KF za każdym razem, edytuj

/etc/repos.d/fedora-deb.conf

i na końcu dodaj

KEY_FINGERPRINT::yes

 

W moim systemie wersja 25 nie ma takiego katalogu repos.d 

 

[@WalDo]

Zapewne chodzi o /etc/yum.repos.d

[marek353]

8 minut temu, WalDo napisał:

Zapewne chodzi o /etc/yum.repos.d

Nie, ten katalog zawiera tylko aktualnie zainstalowane źródła- repozytoria. Według developer`a zminy należy dokonać w pliku 

fedora-deb.conf

[developer]

Hm rzeczywiście dziwne. Ja u siebie (serwer dedyk z OVH) mam owy katalog. Może jest to modyfikacja OVH i w czystej Fedorze go nie ma?

[Gość]

marek353

Kwestia, której potwierdzenia wymaga yum to nie jest kwestia tego, czy pakiet jest podpisany (bo jest), tylko kwestia tego czy ty jako administrator systemu ufasz człowiekowi, który widnieje jako właściciel podpisu i siłą rzeczy czy ten podpis uważasz za zaufany.

Wszystko co wyświetlił menedżer pakietów - wyświetlisz tak samo w ten sposób:

wget https://copr-be.cloud.fedoraproject.org/results/madcat/hubic/pubkey.gpg

gpg pubkey.gpg
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa2048 2016-09-29 [SCEA] [wygasa: 2021-09-28]
      BEA3226A72C6FA7CD4AE4EAEC832DF44D7CCA98A
uid           madcat_hubic (None) <madcat#[email protected]>gpg pubkey.gpg
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa2048 2016-09-29 [SCEA] [wygasa: 2021-09-28]
      BEA3226A72C6FA7CD4AE4EAEC832DF44D7CCA98A
uid           madcat_hubic (None) <madcat#[email protected]>

Domyślnie sprawdzanie podpisów pakietów dla repozytoriów dystrybucyjnych jest włączone. W Yum można jeszcze włączyć podpis indeksów repozytoriów (man yum.conf). To, czy podpisy pakietów mają być sprawdzone można też ustawić w plikach poszczególnych dodatkowych repozytoriów =>  /etc/yum.repos.d/NAZWA.repo, na przykład:

https://wiki.centos.org/AdditionalResources/Repositories/GoogleYumRepos .

[marek353]

Ponowię pytanie, jak teraz mam sprawdzić wiarygodność pożądanego przeze mnie pakietu hubic? Jak to się robi po kolei?

Polecenie gpg pubkey.gpg potwierdziło tożsamość użytkownika udostępniającego pakiet.

gpg pubkey.gpg
pub  2048R/D7CCA98A 2016-09-29 madcat_hubic (None) <madcat#[email protected]>

Teraz jak skojarzyć pubkey.gpg z odciskiem palca (key finger) który był podany przed akceptacją instalacji, tzn.
Odcisk palca             : BEA3 226A 72C6 FA7C D4AE 4EAE C832 DF44 D7CC A98A

Prosiłbym o wytłumaczenie postępowania w takim przypadku kiedy yum a raczej dnf ceduje na nas ryzyko sprawdzenia autentyczności.

pubkey.gpg

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
	mQENBFftCDEBCAD7IUcp4Cs7huE0lXhTwtDkuoUcIrGASsB8yz/WeeoN2dtf18xK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=HXNa
-----END PGP PUBLIC KEY BLOCK-----

[Gość]

Robienie podwójnej roboty:

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-check-rpm-sig.html .

[Fedoras]

W skrócie. Fingerprint służy potwierdzeniu, że klucz należy do właściwej osoby. Każdy może sobie wygenerować klucz, że jest RedHatem, czy Fedorą i podpisywać swoje paczki. Jednak prawdziwy klucz RedHata czy Fedory będzie miał inny fingerprint.

Najlepsza weryfikacja odcisku, to spotkanie się z właścicielem klucza i porównanie odcisku, który on posiada z tym wyświetlonym. Można też zrobić to przez telefon. Często właściciel klucza umieszcza fingerprint na swojej stronie WWW. Odciski można też sprawdzić na serwerach kluczy. W Gnome służy do tego Seahorse czyli w menu po polsku - hasła i klucze. W Kde chyba Kleopatra.

 

Pozdrawiam

[marek353]

Dziękuję Wam serdecznie za pomoc  

Tego właśnie chciałem się dowiedzieć. Nadmienię tylko, że właśnie sprawdziłem klucz metodą, którą polecił marcin82 i była zgodność podpisu. 

OK temat jak dla mnie rozwiązany