Re: Vérification de signatures GPG (CentOS 7.7 et 8)

Top Page

Reply to this message
Author: Marc TERRIER
Date:  
To: guilde
Subject: Re: Vérification de signatures GPG (CentOS 7.7 et 8)
Le 01/10/2019 à 10:40, Christian Marillat a écrit :
> On 01 oct. 2019 09:22, Marc TERRIER <marc.terrier@???> wrote:
>
>> Bonjour la Guilde,
>
> Salut,
>
> [...]
>
>> Je fais :
>>
>> $ wget http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
>
> Comment peux tu être sur de l'intégrité de ce fichier ? Pas de https,
> il vient d'un mirroir...
>
> Christian


Je viens de re-télécharger le fichier, depuis
https://www.centos.org/keys/RPM-GPG-KEY-CentOS-7 (merci à Xavier pour
l'URL), et les deux fichiers sont parfaitement identiques, donc pas de
souci au niveau du miroir, mais ta question est parfaitement pertinente,
Christian : tant qu'à vouloir vérifier, autant le faire correctement.

Après, il reste le fait que la commande "gpg --quiet --with-fingerprint
./RPM-GPG-KEY-CentOS-7" n'affichait pas l'empreinte de la clé, qui se
termine par F4A8 0EB5. Mais je viens de trouver pourquoi : c'est une clé
GPG v1, et je la vérifiais avec le programme 'gpg' par défaut de
LinuxMint 19.1, qui est un GPG v2. Après installation explicite du
paquet gnupg1, ça va tout de suite mieux, même si le 'man' conseille
sans ambiguïté de préférer la version 2.x à chaque fois qu'on peut.

Merci à tous les deux.

--
Marc TERRIER