Verificar una "Firma" de un Paquete

Gracias a la tecnología, es más fácil instalar aplicaciones inmediatamente - y si no le gusta lo instalado, puede fácilmente borrar las aplicaciones de su sistema.

Pero porqué RMP es más fácil de usar no significa que sea inseguro. Esto es porque RMP con Gnu Privacy Guard -- también llamado GnuPG -- le ayudan ha hacer la descarga de paquetes con confianza.

Digamos que usted simplemente tiene que descargar el paquete coolapp-1.1.rpm. Para ejecute una rápida verificación de los ficheros, teclee:

rpm -K coolapp-1.1-1.rpm
		  

Verá el mensaje coolapp-1.1-1.rpm: md5 OK. Este mensaje significa que le fichero verificado - no ha tenido problemas al ser descargado.

Eso está bien, pero ¿ cómo de seguro es el diseñador? ¿ Lo conoce realmente? Bien, si el paquete es firmado con el diseñador de GnuPG key, Conocerá que el deseñador realmente es quien dice ser.

GnuPG es una herramienta para comunicación segura; es un completo y libre sustituto de la tecnología de la encriptación de PGP. Con GnuPG, puedes autentificar la validez de los documentos, encriptar y desencriptar datos. La herramineta es capaz de desencriptar y verificar los ficheros de PGP 5.x.

Durante la instalación de Red Hat Linux, GnuPG es instalada por defecto. Aquí, mostrará como conseguir arrancar con GnuPG.

GnuPG usa public key. Cuando verifica su propia llave, puede ser cierto que el propietario es quien dice ser. En criptografía de llave publica, los usuarios crean un keypair, que es compuesto de una comprised of a public key y una private key.

Mientras puedes distribuir su llave publica para corresponsal o para publico keyservers -- almacenes en línea que guardan las llaves publicas de usuarios - nunca debe divulgar su llave privada a nadie.

Generar un nueva keypair

Para Usar GnuPG, la primera tarea es generar una keypair: su propia llave publica y privada. Puedes hacer esto con la opción --gen-key o en el prompt del shell

ImportanteNo dar su llave privada
 

Recuerda: Mientras su llave publica puede ser dada a cualquiera con el que quiera intercambiar una comunicación segura, nunca de dar su llave privada.

En una ventana Xterm, teclee gpg --gen-key. Ya que trabaja con su cuenta de usuario más frecuentemente, debe estar haciendo esto desde su cuenta de usuario, más que desde root. Encontrarán una ventana de introductora, con las opciones de llaves, incluyendo una opción recomendada (por defecto), similar a la siguiente:

gpg (GnuPG) 1.0.1; Copyright (C) 1999 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Please select what kind of key you want:
   (1) DSA and ElGamal (default)
   (2) DSA (sign only)
   (4) ElGamal (sign and encrypt)
Your selection?
		  

De hecho, la mayoría de las ventanas que le exigen que elijas una opción. Puedes aceptar la opción por de defecto simplemente pulsando.

En la primera ventana, debe aceptar la opción por defecto: (1) DSA and ElGamal. Esta opción permitirá crear una firma digital y encriptar (y desencriptar) con dos tipo de tecnologías. Teclee 1 y pulse Enter.

Siguiente, elige el tamaño de la llave. Generalmente, la más larga es la llave, más resistente es contra ataques. Por defecto el tamaño, 1024, debe ser suficiente, presione Enter.

La Siguiente opción pregunta específicamente cuanto tiempo quieres que tu llave sea valida. Normalmente, por defecto -- 0 = key does not expire -- está bien. Si eliges una fecha de caducación, recuerda que cualquiera con quien intercambie la llave publica tiene que ser informado de caducación, y proporcionar una nueva llave publica.

Lo siguienta es proporcionar un ID de usuario, con su nombre, dirección e-mail y comentario opcional. Cuando acabes, se presentará un resumen de la infomación introducida.

Una vez aceptados los cambios, tendrá que introducir un passphrase, que es la contraseña elegida que validará como el propietario de sus nuevas llaves.

SugerenciaUsa un passphrase seguro
 

Una buena passphrase es esencial para una optima securidad en GnuPG. Por favor, For example, mezcal letras mayúculas y minúculas en su passphrase, usa números, o signos de puntuación.

Una vez introducido y verificado su passphrase, su llaves serán generadas. Verá un mensaje similar al siguiente:

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
+++++.+++++.++++++++....++++++++++..+++++.+++++.+++++++.+++++++
+++.++++++++++++++++++++++++++++++++++++++..........................++++
	

Cuando la actividad en la pantalla cese, sus nuevas llaves estarán hechas y situadas en el directorio .gnupg. Para listar sus llaves, usa el comando gpg --list-keys; verán algo similar a lo siguiente:

[newuser@localhost newuser]$ gpg --list-keys
/home/newuser/.gnupg/pubring.gpg
-----------------------------------------
pub  1024D/B7085C8A 2000-04-18 Your Name <you@yourisp.net>
sub  1024g/E12AF9C4 2000-04-18
	

Cambiar las llaves

Una vez tengas creado su paraja de llaves, puedes cambiar su llave publica con cualquiera. Haz esto con exporting su llave publica y importing otras llaves publicas.

Exportar llaves

Para exportar sus llaves, usa el siguiente comando:

gpg --armor --export you@yourisp.net
	

El resultado se parecerá a:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.0.1 (GNU/Linux)
Comment: For info see http://www.gnupg.org
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=NYlu
-----END PGP PUBLIC KEY BLOCK-----
	

SugerenciaGraba Fácilmente la Salida
 

Puede grabar el bloque de llaves publicas para redirecting la salida a un fichero. Puedes insertar el fichero en e-mail, o copiarlo y pegarlo en una página Web. Para redireccionar la salida a un fichero llamado mykey.txt en su /home directory, y > mykey.txt:

gpg --armor --export you@yourisp.net > mykey.txt

Entonces el fichero mykey.txt puede ser insertado todas las veces que quieras para mandar su llave a alguien.

Importar llaves

Cuando importas alguna llave publica, añade esta llave a su keyring. Entonces, cuando descage un documento o fichero, puede verificar la validad de este documento con la llave añadida.

Para importar una llave, use la opción --import. Para demostrar, permite descargar e importar una llave publica de Red Hat Linux. Cuando quieras validar un paquete de Red Hat, podrás verificar con la llave.

Puedes encontrar la llave de Red Hat en http://www.redhat.com/about/contact.html. Desde su browser, puedes descargar la llave presionando la tecla Shift mientras pulsas en el enlace de descarga, entonces pulsa el botón OK para grabar el fichero (Por ejemplo redhat2.asc). Ahora, en el prompt del shell, importa la llave con el siguiente comando:

gpg --import redhat2.asc	    
	  

el mensaje resultante dirá que la llave fue "procesada". Para verificar que la llave fue añadida, teclea gpg --list-keys. Verás la llave descargada de Red Hat, como su propia llave..


[newuser@localhost newuser]$ gpg --list-keys
/home/newuser/.gnupg/pubring.gpg
-----------------------------------------
pub  1024D/DB42A60E 1999-09-23 Red Hat, Inc <security@redhat.com>
sub  2048g/961630A2 1999-09-23
	

SugerenciaLa llave no tienen que ser los enlaces
 

A veces, no puedrás descargar un llave como enlace, en cambio , puedes grabar cualquier llave como un fichero de texto. Con que conozca el nombre y la localización del fichero grabado, puedes importarla.

Verificar Paquetes

El comonado de verificar un paquete descargado (rpm --K filename) es el mismo proces que uso antes generando sus llaves en GnuPG y añadiendo la llave Red Hat. Ahora que tiene añadida la llave de Red Hat en su llavero, verá un mensaje ligeramente diferente:; md5 gpg OK. Esto significa que el paquete no ha sido corrompido, y que puede confiar en el original del paquete - esto es, Red Hat

Yendo de Aquí

Hay un a parte más de GnuPG -- y la tecnología de encriptación - de la que hemos cubierto aquí. De hecho, hay mucho más información de la que podemos cubir en este libro. Pero puede empezar con los conceptos como key management, como en import y export llaves, y más en Capítulo 13.