Re: sign & kernel

To: debian-italian@lists.debian.org
Subject: Re: sign & kernel
From: Marco Bodrato <bodrato@gulp.linux.it>
Date: Mon, 19 May 2003 15:07:50 +0200
Message-id: <[🔎] 20030519130750.GA1270@gulp.linux.it>
Mail-followup-to: debian-italian@lists.debian.org
In-reply-to: <[🔎] 5.2.1.1.2.20030519113342.00c72130@box.rimininfissi.com>
References: <[🔎] 5.2.1.1.2.20030519113342.00c72130@box.rimininfissi.com>

On Mon, May 19, 2003 at 11:37:18AM +0200, matteo_battistini@libero.it wrote:
> 
> domanda banale, ho provato a cercare in giro, ma non ho trovato risposta:
> sul sito del kernel c'e', per ogni versione, un file sign.. come si usa che 
> non l'ho mai capito?

Faccio un esempio...

Scarichi le patch per arivare all'ultima versione stabile:

wget http://www.kernel.org/pub/linux/kernel/v2.4/patch-2.4.20.bz2

E la firma a tale file...

wget http://www.kernel.org/pub/linux/kernel/v2.4/patch-2.4.20.bz2.sign

A questo punto, da riga di comando:

gpg --verify patch-2.4.20.bz2.sign

Ti verifica che il pacchetto sia firmato. Fine.

Accortezze: devi avere la chiave pubblica di chi ha fatto la firma! Per
ottenerla ti basta il comando

gpg --keyserver keyserver.linux.it --recv-keys 517D0F0E

A questo punto gpg si lamentera` del fatto che "Non ci sono indicazioni che
la firma appartenga al proprietario." ed in effetti... L'hai solo scaricata
dalla rete, senza alcuna garanzia.
Ancora un piccolo sforzo e col comando:

gpg --keyring /usr/share/keyrings/debian-keyring.gpg --keyring /usr/share/keyrings/debian-keyring.pgp --check-sigs 517D0F0E

Verifichi che la chiave con cui e` stato firmato il kernel sia stata a sua
volta firmata anche da qualche sviluppatore Debian.
La catena della fiducia non sarebbe ancora terminata, ma diciamo che a
questo punto l'autenticita` del kernel e` garantita a patto che
1) nessuno abbia fatto grosse (@%%@73
2) gli sviluppatori Debian abbiano firmato con cognizione di causa
3) il file delle chiavi degli sviluppatori Debian che hai sul tuo HD sia corretto.

gpg si lamentera` "in eterno" del fatto che non puo' avere certezza
assoluta, ma una volta scaricata la chiave, potrai almeno verificare che
ogni kernel che scarichi sia firmato sempre con la stessa :-)

Ciao ciao,
	Marco

PS: gpg lo scarichi con
apt-get install gnupg
il file delle chiavi con
apt-get install debian-keyring

-- 
GPG fingerprint: 5972 C482 24C1 E7E6 2AA0  275D 1150 EE33 ciao 00B0
lynx -source http://linuz.sns.it/~bodrato/ciao00B0.html | gpg --import

Attachment: pgpSfFgR_Q_pR.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: sign & kernel
  - From: "matteo_battistini@libero.it" <matteo_battistini@libero.it>

References:
- sign & kernel
  - From: "matteo_battistini@libero.it" <matteo_battistini@libero.it>

Prev by Date: Re: Freeswan + VPN + IpSec
Next by Date: gestione IRQ e altro
Previous by thread: sign & kernel
Next by thread: Re: sign & kernel
Index(es):
- Date
- Thread