On Mon, May 19, 2003 at 11:37:18AM +0200, matteo_battistini@libero.it wrote: > > domanda banale, ho provato a cercare in giro, ma non ho trovato risposta: > sul sito del kernel c'e', per ogni versione, un file sign.. come si usa che > non l'ho mai capito? Faccio un esempio... Scarichi le patch per arivare all'ultima versione stabile: wget http://www.kernel.org/pub/linux/kernel/v2.4/patch-2.4.20.bz2 E la firma a tale file... wget http://www.kernel.org/pub/linux/kernel/v2.4/patch-2.4.20.bz2.sign A questo punto, da riga di comando: gpg --verify patch-2.4.20.bz2.sign Ti verifica che il pacchetto sia firmato. Fine. Accortezze: devi avere la chiave pubblica di chi ha fatto la firma! Per ottenerla ti basta il comando gpg --keyserver keyserver.linux.it --recv-keys 517D0F0E A questo punto gpg si lamentera` del fatto che "Non ci sono indicazioni che la firma appartenga al proprietario." ed in effetti... L'hai solo scaricata dalla rete, senza alcuna garanzia. Ancora un piccolo sforzo e col comando: gpg --keyring /usr/share/keyrings/debian-keyring.gpg --keyring /usr/share/keyrings/debian-keyring.pgp --check-sigs 517D0F0E Verifichi che la chiave con cui e` stato firmato il kernel sia stata a sua volta firmata anche da qualche sviluppatore Debian. La catena della fiducia non sarebbe ancora terminata, ma diciamo che a questo punto l'autenticita` del kernel e` garantita a patto che 1) nessuno abbia fatto grosse (@%%@73 2) gli sviluppatori Debian abbiano firmato con cognizione di causa 3) il file delle chiavi degli sviluppatori Debian che hai sul tuo HD sia corretto. gpg si lamentera` "in eterno" del fatto che non puo' avere certezza assoluta, ma una volta scaricata la chiave, potrai almeno verificare che ogni kernel che scarichi sia firmato sempre con la stessa :-) Ciao ciao, Marco PS: gpg lo scarichi con apt-get install gnupg il file delle chiavi con apt-get install debian-keyring -- GPG fingerprint: 5972 C482 24C1 E7E6 2AA0 275D 1150 EE33 ciao 00B0 lynx -source http://linuz.sns.it/~bodrato/ciao00B0.html | gpg --import
Attachment:
pgpSfFgR_Q_pR.pgp
Description: PGP signature