Jump to content
marek353

Jak sprawdzić poprawność podpisu, Key fingerprint?

Recommended Posts

Zainstalowałem program z poza oficjalnych źródeł repo Fedory. Jest to aplikacja do obsługi chmury Hubic. Fedora 25 nie posiada własnego źródła dla hubic.
Teraz pytanie:
podczas instalacji terminal wyświetla ostrzeżenie

ostrzeżenie: /var/cache/dnf/madcat-hubic-1819c7db8b37ec4f/packages/hubiC-2.1.0.53-1.fc25.x86_64.rpm: Nagłówek V3 RSA/SHA1 Signature, identyfikator klucza d7cca98a: NOKEY
Importowanie klucza GPG 0xD7CCA98A:
 Identyfikator użytkownika: „madcat_hubic (None) <madcat#hubic@copr.fedorahosted.org>”
 Odcisk palca             : BEA3 226A 72C6 FA7C D4AE 4EAE C832 DF44 D7CC A98A
 Z                        : https://copr-be.cloud.fedoraproject.org/results/madcat/hubic/pubkey.gpg
W porządku? [t/N]:


chcąc dokończyć instalację zaakceptowałem oczywiście lecz jak sprawdzić odcisk palca (Key fingerprint)? Trochę to pytanie z gatunku dla newbie ale raczej nie instaluję paczek z nieoficjalnych źródeł stąd moje wątpliwości, jak sprawdzamy poprawność podpisu? :rolleyes:

Share this post


Link to post
Share on other sites
2 godziny temu, developer napisał:

Aby DNF sprawdzał KF za każdym razem, edytuj


/etc/repos.d/fedora-deb.conf

i na końcu dodaj


KEY_FINGERPRINT::yes

 

W moim systemie wersja 25 nie ma takiego katalogu repos.d :rolleyes:

 

Share this post


Link to post
Share on other sites
8 minut temu, WalDo napisał:

Zapewne chodzi o /etc/yum.repos.d

Nie, ten katalog zawiera tylko aktualnie zainstalowane źródła- repozytoria. Według developer`a zminy należy dokonać w pliku 

fedora-deb.conf

Share this post


Link to post
Share on other sites

Hm rzeczywiście dziwne. Ja u siebie (serwer dedyk z OVH) mam owy katalog. Może jest to modyfikacja OVH i w czystej Fedorze go nie ma?

Share this post


Link to post
Share on other sites

marek353

Kwestia, której potwierdzenia wymaga yum to nie jest kwestia tego, czy pakiet jest podpisany (bo jest), tylko kwestia tego czy ty jako administrator systemu ufasz człowiekowi, który widnieje jako właściciel podpisu i siłą rzeczy czy ten podpis uważasz za zaufany.

Wszystko co wyświetlił menedżer pakietów - wyświetlisz tak samo w ten sposób:

wget https://copr-be.cloud.fedoraproject.org/results/madcat/hubic/pubkey.gpg

gpg pubkey.gpg
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa2048 2016-09-29 [SCEA] [wygasa: 2021-09-28]
      BEA3226A72C6FA7CD4AE4EAEC832DF44D7CCA98A
uid           madcat_hubic (None) <madcat#hubic@copr.fedorahosted.org>gpg pubkey.gpg
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa2048 2016-09-29 [SCEA] [wygasa: 2021-09-28]
      BEA3226A72C6FA7CD4AE4EAEC832DF44D7CCA98A
uid           madcat_hubic (None) <madcat#hubic@copr.fedorahosted.org>

Domyślnie sprawdzanie podpisów pakietów dla repozytoriów dystrybucyjnych jest włączone. W Yum można jeszcze włączyć podpis indeksów repozytoriów (man yum.conf). To, czy podpisy pakietów mają być sprawdzone można też ustawić w plikach poszczególnych dodatkowych repozytoriów =>  /etc/yum.repos.d/NAZWA.repo, na przykład:

https://wiki.centos.org/AdditionalResources/Repositories/GoogleYumRepos .

Share this post


Link to post
Share on other sites

Ponowię pytanie, jak teraz mam sprawdzić wiarygodność pożądanego przeze mnie pakietu hubic? Jak to się robi po kolei?

Polecenie gpg pubkey.gpg potwierdziło tożsamość użytkownika udostępniającego pakiet.

gpg pubkey.gpg
pub  2048R/D7CCA98A 2016-09-29 madcat_hubic (None) <madcat#hubic@copr.fedorahosted.org>


Teraz jak skojarzyć pubkey.gpg z odciskiem palca (key finger) który był podany przed akceptacją instalacji, tzn.
Odcisk palca             : BEA3 226A 72C6 FA7C D4AE 4EAE C832 DF44 D7CC A98A


Prosiłbym o wytłumaczenie postępowania w takim przypadku kiedy yum a raczej dnf ceduje na nas ryzyko sprawdzenia autentyczności.

pubkey.gpg

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
	mQENBFftCDEBCAD7IUcp4Cs7huE0lXhTwtDkuoUcIrGASsB8yz/WeeoN2dtf18xK
lgVb7AchgO7V2qSj2rRaMuYaYZBiOijCzlH8f/weL2sbrdo4NLcYBnTxMkSZWi9R
RyxNy/SDWbvDXLhZPbQmjCHHJhLvON/FkbHwUXWutzbcDsDaBepMP3D8X8K9YCAG
tJtlZhcMwx6zU85q/Sv8NEYRqcpLoXjOmax54fSlCo+641dWTMziPOtJa26qGIM9
PUp4tW+v4E8ZX9QWJnnPmcLz0r0uM1WIgf32r4WcS7xlBsJw/N+FQc5NTU5GAtea
9HSWBpfvsU9Gfi+WPPB21Rg9Mgag3ZU6HFBXABEBAAG0OG1hZGNhdF9odWJpYyAo
Tm9uZSkgPG1hZGNhdCNodWJpY0Bjb3ByLmZlZG9yYWhvc3RlZC5vcmc+iQE9BBMB
CAAnBQJX7QgxAhsvBQkJZgGABQsJCAcCBhUICQoLAgQWAgMBAh4BAheAAAoJEMgy
30TXzKmKJXoIALqgyJXZFx8kSj//6I6Rp1nK0VeyaR0IMIAyF1kLInDsasBlbwIP
dKmOuE/MbCTDNPaGUeNsCKtd3NkAn9pKCopmgrHA/XoJD3Qy+3OgnWhcuOZHFgQw
slIIloPZB0aY4TwRNdLkKXjYZXV8DzOeuYeQd087fGx7pIzmnYKZNUiNmjC4MoqY
jWeJCDV3g1ZYg9cOujyX5OHHeQe+fiplk98/DCAGf23FUbAZ/zuU8lHUZBmkZV+Z
wt9AqQQcJVUxRNuKd0lHcSWkpGsk8MpW6gZVvmsECCTBC2Ppfu54O5o9XYPcfiqi
8vFzyKTrXNDi1EfU7O8I12JdxiKQYKOpoWs=
=HXNa
-----END PGP PUBLIC KEY BLOCK-----

Share this post


Link to post
Share on other sites

W skrócie. Fingerprint służy potwierdzeniu, że klucz należy do właściwej osoby. Każdy może sobie wygenerować klucz, że jest RedHatem, czy Fedorą i podpisywać swoje paczki. Jednak prawdziwy klucz RedHata czy Fedory będzie miał inny fingerprint.

Najlepsza weryfikacja odcisku, to spotkanie się z właścicielem klucza i porównanie odcisku, który on posiada z tym wyświetlonym. Można też zrobić to przez telefon. Często właściciel klucza umieszcza fingerprint na swojej stronie WWW. Odciski można też sprawdzić na serwerach kluczy. W Gnome służy do tego Seahorse czyli w menu po polsku - hasła i klucze. W Kde chyba Kleopatra.

 

Pozdrawiam

Share this post


Link to post
Share on other sites

Dziękuję Wam serdecznie za pomoc :D 

Tego właśnie chciałem się dowiedzieć. Nadmienię tylko, że właśnie sprawdziłem klucz metodą, którą polecił marcin82 i była zgodność podpisu. 

OK temat jak dla mnie rozwiązany :D:D:D

  • Upvote 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×