次のコマンドでgpgキーを検証していました。--nodigestオプションを指定したrpm署名検証出力にmd5が記述されている理由
rpm --checksig <rpm name> --nodigest
私のrpmはRSA/SHA256アルゴリズムで署名されています。
質問は、なぜ私の出力が(md5)であるかです。
出力:私は有効(冗長)-vと同じコマンドを実行すると、それはMD5の言及を持っていないrsa (md5) pgp OK
が出力:
Header V3 RSA/SHA256 Signature, key ID b1275ea3: OK
V3 RSA/SHA256 Signature, key ID b1275ea3: OK
署名がRPMに追加されました前世紀には、唯一一般的に利用可能なデジタル署名実装はPGPでした(当時はRSA/MD5でした)。
rpm --checksig出力の簡潔な形式は、追加のユーザー情報を提供する初期の試みであり、出力に(md5)を追加しました。
rpmの本当の欠陥--checksigは、出力が大文字と小文字と括弧を使用して1行で非常に複雑な完全性チェックを要約しようとしたことです。
-Kvvを使用すると、より詳細な情報が表示されます。
これはgpgユーティリティのバグですか?私は彼らが本当のMD5チェックをしているかどうか疑問に思っていました。もしそうなら、それは私にとっては問題になります。 – Rupesh
RPMは通常、パッケージやファイルを検証するためにMD5よりも強力なハッシュを使用しますが、ユーザーがMD5を使用することは防ぎません。 –
使用しているrpmユーティリティのバージョンと使用しているディストリビューションがわかりませんが、最新のFedora doc:https://docs.fedoraproject.org/en-US/Fedora/25/html/System_Administrators_Guide /s1-check-rpm-sig.htmlで説明しています。使用する新しいコマンドは 'rpmkey'です。 '-Kv 'オプションを指定して実行すると、MD5ダイジェストセクションが出力されます。このセクションは、パッケージが転送中に変更されていないことを保証します。 –
私は完全性チェックが必要であることに同意しますが、--nodigestを実行することで私はこれをチェックすることに興味がなく、署名検証が必要であると言っています。いくつかのrpmコードを調べたところ、以下のようになりました:case RPMSIGTAG_PGP: n =(上部? "(MD5)PGP": "(md5)pgp");これはRPMSIGTAG_PGPが出力にこの文字列を追加することを意味しますが、依然として質問はなぜmd5ですか? – Rupesh
http://ftp.rpm.org/max-rpm/s1-rpm-checksig-using-rpm-k.htmlここでは、チェックサムはビルド時間と検証時間の両方で計算され、md5ハッシュを使用しているようですその目的のために機能する。しかし、私はあなたに同意します。このオプションは、うまくいかないように見えます。 –