Bonjour la Guilde,
Je viens de télécharger les images ISO de CentOS 7.7 et 8, et en plus de
vérifier les sommes sha256, ce que je fais toujours, j'ai voulu aussi
vérifier les signatures GPG, ce que je ne fais habituellement pas (oui,
je sais, c'est mal, et c'est bien pour ça qu'aujourd'hui, je veux faire
l'effort de me familiariser avec GPG).
Problème : bien que je suive à la lettre les indications données sur
https://wiki.centos.org/Download/Verify, je n'ai pas tout à fait le
résultat attendu.
Je fais :
$ wget
http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
$ gpg --quiet --with-fingerprint ./RPM-GPG-KEY-CentOS-7
et au lieu d'obtenir :
pub 4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing
Key) <security@???>
Key fingerprint = 6341 AB27 53D7 8A78 A7C2 7BB1 24C6 A8A7 F4A8 0EB5
j'obtiens ceci :
pub rsa4096 2014-06-23 [SC]
uid CentOS-7 Key (CentOS 7 Official Signing Key)
<security@???>
La date est correcte, il est bien question de "CentOS 7 Official Signing
Key", mais l'affichage n'est pas exactement le même, et l'empreinte de
la clé ("Key fingerprint = 6341 AB27...") n'apparaît pas. J'ai essayé
d'ajouter différentes options genre --list-keys, ou --list-signatures,
--check-signatures ou même --verbose, mais rien n'y fait.
Cela peut-il être dû au fait que j'effectue l'opération depuis une
machine non-CentOS (LinuxMint, en l'occurrence), avec un gpg 2.2.4 et
libgcrypt 1.8.1 ? Dois-je m'abstenir d'utiliser cette clé (que je n'ai
pas encore importé) ? Ou bien est-ce que je m'inquiète pour rien ?
Merci d'avance,
--
Marc TERRIER
