[Primipassi] md5 e rpmfind

Francesco Poli e-frx@libero.it
Sab 30 Dic 2000 18:13:37 CET


> 
> Non si usa cosi' l'md5 sugli rpm.
> 
> devi fare rpm --checksig <nomepacchetto>
> 
> 
> Lancia un rpm --help e... RTM!
> 

RTM e' un consiglio sempre giusto...  ;)
In effetti io avevo letto la manpage di rpm...
La sezione VERIFY OPTIONS sembra riguardare i pacchetti gia' installati.
Non e' il mio caso.
La sezione SIGNATURE CHECKING mi pareva non avesse nulla a che vedere con
md5:

SIGNATURE CHECKING
       The general form of an rpm signature check command is

            rpm --checksig <package_file>+

       This checks the PGP signature of package <package_file> to  ensure  its  integrity
       and  origin.  PGP configuration information is read from configuration files.  See
       the section on PGP SIGNATURES for details.


Comunque, ho dato il comando:

FRX@neverland rpm_downloaded $ rpm --checksig *.rpm
balsa-1.0.0-1.i386.rpm: md5 OK
galeon-0.8.2-1-rh6.i386.rpm: md5 OK
gnome-libs-1.2.8-0_helix_1.i386.rpm: md5 OK
libglade-0.7-1.i386.rpm: md5 GPG NOT OK
libxml-1.8.6-2.i386.rpm: md5 GPG NOT OK
mozilla-M18-4.i386.rpm: md5 OK


Dunque mi sorgono altri dubbi.
Il controllo md5 e' interno al pacchetto, nel senso che la stringa md5 calcolata viene
confrontata con una stringa contenuta nel pacchetto stesso, giusto?
Me lo fa pensare il fatto che non ho dovuto fornire alcuna stringa di confronto (ed ero
offline quando ho dato il comando).
Percio' la verifica mi mette al riparo da modifiche del pacchetto dovute a cause
"non intelligenti" (errori di trasmissione et similia), ma non da manomissioni
intenzionali...

Va be', passiamo oltre.
Sulla manpage di rpm si parla di firme PGP (Pretty Good Privacy) e non
di GPG (che e' la versione libera GNU, giusto?).
In ogni caso: come fa rpm a dire che *non* sono OK? Dove trova i dati
con cui effettuare il confronto? 
E' per caso un discorso analogo a quello fatto per md5?


Che faccio, cerco quei due pacchetti altrove?
Dove?

Grazie per la pazienza!   :)


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Francesco Poli         e-frx@arnone.de.unifi.it
    e-frx@libero.it        frxfrx@tiscalinet.it
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
"Non vorrei aver fatto un grave cervello al mio danno!"
                                         - Homer J. Simpson





Maggiori informazioni sulla lista primipassi