[Primipassi] md5 e rpmfind

Marco Ermini markoer@markoer.org
Mar 2 Gen 2001 12:05:57 CET


Francesco Poli wrote:
> 
> >
> > Non si usa cosi' l'md5 sugli rpm.
> >
> > devi fare rpm --checksig <nomepacchetto>
> >
> >
> > Lancia un rpm --help e... RTM!
> >
> 
> RTM e' un consiglio sempre giusto...  ;)
> In effetti io avevo letto la manpage di rpm...
> La sezione VERIFY OPTIONS sembra riguardare i pacchetti gia' installati.
> Non e' il mio caso.
> La sezione SIGNATURE CHECKING mi pareva non avesse nulla a che vedere con
> md5:
> 
> SIGNATURE CHECKING
>        The general form of an rpm signature check command is
> 
>             rpm --checksig <package_file>+
> 
>        This checks the PGP signature of package <package_file> to  ensure  its  integrity
>        and  origin.  PGP configuration information is read from configuration files.  See
>        the section on PGP SIGNATURES for details.
> 
> Comunque, ho dato il comando:
> 
> FRX@neverland rpm_downloaded $ rpm --checksig *.rpm
> balsa-1.0.0-1.i386.rpm: md5 OK
> galeon-0.8.2-1-rh6.i386.rpm: md5 OK
> gnome-libs-1.2.8-0_helix_1.i386.rpm: md5 OK
> libglade-0.7-1.i386.rpm: md5 GPG NOT OK
> libxml-1.8.6-2.i386.rpm: md5 GPG NOT OK
> mozilla-M18-4.i386.rpm: md5 OK
> 
> Dunque mi sorgono altri dubbi.
> Il controllo md5 e' interno al pacchetto, nel senso che la stringa md5 calcolata viene
> confrontata con una stringa contenuta nel pacchetto stesso, giusto?

Si'

> Me lo fa pensare il fatto che non ho dovuto fornire alcuna stringa di confronto (ed ero
> offline quando ho dato il comando).
> Percio' la verifica mi mette al riparo da modifiche del pacchetto dovute a cause
> "non intelligenti" (errori di trasmissione et similia), ma non da manomissioni
> intenzionali...

Esatto. Il fatto che ti abbia detto soltanto "MD5 OK" significa che e' stato
segnato soltanto con MD5. Per verificare che il pacchetto non sia "truccato"
presumo ti convenga scaricarlo da siti considerati "sicuri", mirror
"ufficiali" o dalla RedHat stessa

> Va be', passiamo oltre.
> Sulla manpage di rpm si parla di firme PGP (Pretty Good Privacy) e non
> di GPG (che e' la versione libera GNU, giusto?).

Parla anche di GPG, puo' usare entrambe. Almeno se fai rpm --help ti dice:

--checksig <pkg>+      - verify package signature
  --nopgp              - skip any PGP signatures
  --nogpg              - skip any GPG signatures
  --nomd5              - skip any MD5 signatures

Quindi presumo possa uasre tutti questi metodi - dipende da come e' stato
compilato rpm. Probabilmente la man page non e' aggiornata

> In ogni caso: come fa rpm a dire che *non* sono OK? Dove trova i dati
> con cui effettuare il confronto?

Con il pacchetto stesso. Se sai cos'e' MD5, lo capisci ;-) battute a parte,
esegue un test di integrita' tra la sua, propria signature MD5 e cio' che hai
scaricato. E' una specie di controllo di parita', se mi passi la metafora
molto grezza. Questo significa che due dei pacchetti che hai scaricato sono
probabilmente corrotti.

> E' per caso un discorso analogo a quello fatto per md5?
> 
> Che faccio, cerco quei due pacchetti altrove?
> Dove?

Li riscarichi dallo stesso posto


ciao ciao ciao

-- 
Marco Ermini
http://www.markoer.org - ICQ # 50825709
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson




Maggiori informazioni sulla lista primipassi