En tu caso, aunque no estoy seguro de que sea imprescindible, me gustarían ficheros con firma incluida como los emilios con pgp inline:
gpg --sign --clearsign fichero
que produce un fichero.asc con dos secciones, el texto y la firma. Y al recibirlo:
gpg fichero.asc
regenera el original comprobándolo: tanto si es bueno como si no, lo dice, pero lo regenera. Es posible que el exitcode diga si es bueno o no.
1. La firma del rpm, para asegurar su autenticidad (mas allá de crackeos del servidor) 2. Asegurar la integridad del paquete bajado.
- Con 1 sabemos que el paquete no tiene troyanos (si es que nos fiamos del autor y del que lo firma, claro), pero no tenemos integridad. - Con 2 tenemos seguro que lo que nos hemos bajado corresponde bit a bit (o se hace por bytes?) con lo que hay en el servidor...
Con gpg si, si tocas un sólo byte la firma no verifica. Tiene las dos cosas :-)
Y si, ahora que me doy cuenta, en muchos repositorios te ponen la firma (1) y el checksum (2) del paquete.
Si, pero es porque hay gente que no sabe como verificar una firma gpg ;-)
Es un poco más complicado, antes tienes que obtener la clave pública por otro canal. El checksum es más simple.
Pues mira, al final, han aceptado el gpg. Sorprendido me tienen. El caso es que ahora tengo que decir yo como funciona en detalle el invento. Asi que a ver si lo comprendo bien: Parte1: PRK1 - Clave privada PUK1 - Clave publica Parte2: PRK2 - idem PUK2 - idem Yo seré la parte2. Lo que quiero es bajar ficheros de la parte1. 1. Creamos nuestras claves publicas/privadas. 2. nos juntamos y nos pasamos las publicas. 3. ¿como se importa una clave publica? 4. a) parte1 firma su fichero con su clave privada (correcto?). b) parte1 encripta su fichero con mi clave publica (correcto?). 5. Me bajo el fichero en cuestion. Y: a) como desencripto el fichero con mi clave privada? b) como compruebo la autenticidad del fichero? Me dejo algo? Ah si, qué es eso del ´fingerprint´? Muchas gracias! -- Saludos, miguel