Añadir firma digital a URPMI

Question

Añadir firma digital a URPMI

bpeople 19 jul 2003 14:46

Lounge

1.304 mensajes
desde oct 2002
en Köln

Para los que usamos URPMI, sabemos que cuando no tenemos registrada la firma de un paquete que nos hemos descargado, el sistema nos advierte que la firma no es válida y que si queremos continuar. Las firmas evitan que nos cuelen "elementos extraños" en el sistema, así que son más importantes de lo que parecen. Así que aquí va una pequeña explicación de cómo hacerlo, porque sólo he visto un post de EOL que hablara del tema.

Para los repositorios del PLF, descargamos las GPG Keys del proyecto desde este enlace (la explicación viene en la web del PLF). Se descarga el archivo plf.asc.

Para Texstar, usando el mirror de ibiblio nos descargamos las claves desde este enlace. Se descarga el archivo "pubring.gpg".

Para los main, contrib y updates de RedIris, las claves se pueden descargar desde este enlace. Se descarga el archivo RPM-GPG-KEYS.

Ahora como root, se hace:
#gpg --import plf.asc
#gpg --import pubring.gpg
#gpg --import RPM-GPG-KEYS

Y ya tenemos añadidas las firmas para nuestro sistema.

Saludos.

PD: He usado estos mirrors de repositorios porque son los que a mí me van mejor. Si tenéis otros se hace exactamente igual.

4 respuestas

Answer 1 · 2003-07-19T14:55:10+00:00

La verdad que nunca me había preocupado por eso, pero ya que lo has puesto tan a huevo... hecho está [oki]

Answer 2 · 2003-07-19T15:33:17+00:00

Con las firmas digitales que haces evitar que te pregunte si quieres instalarlo aunque tenga firmas invalidas para tu sistema? o como? esque no lo acabo de entender ya mire un manual sobre eso hace tiempo.. pero igualmente... nosé para que... quizas normalmente la firma invalida es de un reposito mal puesto o algo nosé haber si me aclarais esto

muchas gracias por el tuto me vendra bien i a más de uno creo que también

Salu2;)

Answer 3 · 2003-07-19T15:41:20+00:00

Las firmas digitales hacen que deje de preguntarte cuando instalas con el URPMI. Las de GPG se basan en dos claves, una pública y una privada, relacionadas entre sí. La que tú estás metiendo es la pública. De esta forma, sólo se te instalará un paquete original de los repositorios, porque si una de las claves falla te saltará la alerta de que es una firma no válida, y la privada sólo la tienen ellos. Con esto consigues que si lograran colar un paquete falso por ahí con algún trojano o algo, si no es un paquete original, saltará el aviso y tú desconfiarás de ese paquete.

Si no registras las firmas, siempre verás el aviso, y por costumbre le das a SI, sea el que sea, porque lo que quieres es instalarlo y punto. De esta forma no sabes si es un paquete bueno o malo.

PD: Espero que te haya quedado más claro JoRdiMaTa y os guste el mini-tuto, porque es algo que no he visto comentado mucho.

Saludos.

Answer 4 · 2003-07-19T16:41:32+00:00

Muchas gracias bpeople por la aclaración es cierto en todo el tiempo que llevo en el foro no he visto ningún mensaje semejante tampoco m'he havia dedicado a buscarlo claro... jeje bueno cada día se aprenden cosas nuevas muxas acias.
Salu2;)