Re: Vérification de signatures GPG (CentOS 7.7 et 8)

トップ ページ

このメッセージに返信
著者: Xavier Belanger
日付:  
To: Marc TERRIER
CC: La Guilde
題目: Re: Vérification de signatures GPG (CentOS 7.7 et 8)
Bonjour,

Marc TERRIER <marc.terrier@???> wrote:

> Je fais :
>
> $ wget http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
> $ gpg --quiet --with-fingerprint ./RPM-GPG-KEY-CentOS-7


En règle générale, pour obtenir une clé GPG j'utilise la fonction
de recherche intégrée (il faut bien sûr au moins avoir l'empreinte
partielle/identifiant de la clé) :

> xavier@thinkpad:~$ gpg2 --search F4A80EB5
> gpg: data source: http://192.146.137.99:11371
> (1)     CentOS-7 Key (CentOS 7 Official Signing Key) <security@???>
>           4096 bit RSA key 24C6A8A7F4A80EB5, created: 2014-06-23
> Keys 1-1 of 1 for "F4A80EB5".  Enter number(s), N)ext, or Q)uit > 1
> gpg: key 24C6A8A7F4A80EB5: 15 signatures not checked due to missing keys
> gpg: key 24C6A8A7F4A80EB5: public key "CentOS-7 Key (CentOS 7 Official Signing Key) <security@???>" imported
> gpg: marginals needed: 3  completes needed: 1  trust model: pgp
> gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
> gpg: next trustdb check due at 2020-06-02
> gpg: Total number processed: 1
> gpg:               imported: 1


Note pour pour les gens qui utilisent iptables ou nftables: le port TCP/11371
doit être ouvert.

Après cela j'obtiens la même clé que celle que tu as mentionné :

> xavier@thinkpad:~$ gpg2 --list-keys F4A80EB5
> pub   rsa4096 2014-06-23 [SC]
>       6341AB2753D78A78A7C27BB124C6A8A7F4A80EB5
> uid           [ unknown] CentOS-7 Key (CentOS 7 Official Signing Key) <security@???>


Il y a une autre page sur le site web du projet qui liste d'autres clés :

[ https://www.centos.org/keys/ ]

J'aurai tendance à penser que la documentation originelle (celle pour
vérifier les téléchargements) n'est pas tout à fait à jour (elle date
de 2016) et que les clés ont été remplacées depuis.

Je tâcherais de jeter un oeil un peu plus tard aujourd'hui, je pourrais
partager ce que je trouve.

A+
--
Xavier Belanger