Vérification de signatures GPG (CentOS 7.7 et 8)

Page principale

Répondre à ce message
Auteur: Marc TERRIER
Date:  
À: La Guilde
Sujet: Vérification de signatures GPG (CentOS 7.7 et 8)
Bonjour la Guilde,

Je viens de télécharger les images ISO de CentOS 7.7 et 8, et en plus de
vérifier les sommes sha256, ce que je fais toujours, j'ai voulu aussi
vérifier les signatures GPG, ce que je ne fais habituellement pas (oui,
je sais, c'est mal, et c'est bien pour ça qu'aujourd'hui, je veux faire
l'effort de me familiariser avec GPG).

Problème : bien que je suive à la lettre les indications données sur
https://wiki.centos.org/Download/Verify, je n'ai pas tout à fait le
résultat attendu.

Je fais :

$ wget http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
$ gpg --quiet --with-fingerprint ./RPM-GPG-KEY-CentOS-7

et au lieu d'obtenir :

pub  4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing 
Key) <security@???>
       Key fingerprint = 6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5


j'obtiens ceci :

pub   rsa4096 2014-06-23 [SC]
uid           CentOS-7 Key (CentOS 7 Official Signing Key) 
<security@???>


La date est correcte, il est bien question de "CentOS 7 Official Signing
Key", mais l'affichage n'est pas exactement le même, et l'empreinte de
la clé ("Key fingerprint = 6341 AB27...") n'apparaît pas. J'ai essayé
d'ajouter différentes options genre --list-keys, ou --list-signatures,
--check-signatures ou même --verbose, mais rien n'y fait.

Cela peut-il être dû au fait que j'effectue l'opération depuis une
machine non-CentOS (LinuxMint, en l'occurrence), avec un gpg 2.2.4 et
libgcrypt 1.8.1 ? Dois-je m'abstenir d'utiliser cette clé (que je n'ai
pas encore importé) ? Ou bien est-ce que je m'inquiète pour rien ?

Merci d'avance,

--
Marc TERRIER