hallo

wie ueberpruefe ich meine download, ob diese richtig sind bzw. vom org. hersteller.

kann ich mich auf md5 verlassen?
wie teste ich rpm bzw. tar.gz datein?

oder was macht Ihr?

Danke

Hi!


wie ueberpruefe ich meine download, ob diese richtig sind bzw. vom org. hersteller.

kann ich mich auf md5 verlassen?
Als Integritätsprüfung des Downloads, ja. Als Signatur, nein. Für letzteres braucht das Paket eine GnuPG-Signatur, du benötigst den öffentlichen Schlüssel und musst dessen Fingerprint auf anderem Wege, d.h. nicht via Internet, überprüft haben.


wie teste ich rpm bzw. tar.gz datein?
rpm -K bla.rpm prüft MD5- und SHA1-Prüfsumme sowie die eventuell vorhandene GnuPG-Signatur. Den Public-Key musst du natürlich eingebunden haben, s.o.

Bei .tar.gz musst du manuell via gpg prüfen.


oder was macht Ihr?
Der öffentliche GnuPG-Schlüssel meines Distributors war auf den gekauften Medien drauf und der Fingerprint stimmte bei einer Überprüfung mit dem auf der Webseite überein. Da wohl kaum sowohl die Webseite als auch die im Auftrag des Distributors gepressten CDs gleichermaßen manipuliert wurden, gehe ich davon aus, dass er korrekt ist. Also kann ich mit ihm sämtliche offiziellen Pakete gegenchecken.

Gruß
fuffy

rpm -K bla.rpm prüft MD5- und SHA1-Prüfsumme sowie die eventuell vorhandene GnuPG-Signatur. Den Public-Key musst du natürlich eingebunden haben, s.o.


danke.

ich habe jetzt mal zum test ein paar rpm getestet:



ftp-0.17-535.i586.rpm: sha1 md5 gpg OK


die datei wo ich geprüft habe liegt auf der dvd von SuSE, deshalb hätte mich es gewundert, wenn die Prüfung nicht funktioniert.

nur zum verständnis:
wo ist der Public-Key von SuSE gespeichert?
bzw. wo muss ich die anderen Public-Keys ablegen?

Danke

Hi!


nur zum verständnis:
wo ist der Public-Key von SuSE gespeichert?
Im GnuPG-Schlüsselbund von RPM: /usr/lib/rpm/gnupg/pubring.gpg


bzw. wo muss ich die anderen Public-Keys ablegen?
Du kannst einen Public Key per rpm --import public.key.asc importieren.

Gruß
fuffy