Mailinglist Archive: opensuse-es (1446 mails)
| < Previous | Next > |
Re: [suse-linux-s] [OT] Cómo saber si un fichero está corrupto?
- From: "miguel gmail" <miguel.listas@xxxxxxxxx>
- Date: Fri, 24 Feb 2006 13:53:41 +0100
- Message-id: <578ebdde0602240453o60444c7cic61b55b199b341bd@xxxxxxxxxxxxxx>
> En tu caso, aunque no estoy seguro de que sea imprescindible, me gustarían
> ficheros con firma incluida como los emilios con pgp inline:
>
> gpg --sign --clearsign fichero
>
> que produce un fichero.asc con dos secciones, el texto y la firma. Y al
> recibirlo:
>
> gpg fichero.asc
>
> regenera el original comprobándolo: tanto si es bueno como si no, lo
> dice, pero lo regenera. Es posible que el exitcode diga si es bueno o no.
> > 1. La firma del rpm, para asegurar su autenticidad (mas allá de
> > crackeos del servidor)
> > 2. Asegurar la integridad del paquete bajado.
> >
> > - Con 1 sabemos que el paquete no tiene troyanos (si es que nos fiamos
> > del autor y del que lo firma, claro), pero no tenemos integridad.
> > - Con 2 tenemos seguro que lo que nos hemos bajado corresponde bit a
> > bit (o se hace por bytes?) con lo que hay en el servidor...
>
> Con gpg si, si tocas un sólo byte la firma no verifica. Tiene las dos
> cosas :-)
>
>
> > Y si, ahora que me doy cuenta, en muchos repositorios te ponen la
> > firma (1) y el checksum (2) del paquete.
>
> Si, pero es porque hay gente que no sabe como verificar una firma gpg ;-)
>
> Es un poco más complicado, antes tienes que obtener la clave pública por
> otro canal. El checksum es más simple.
Pues mira, al final, han aceptado el gpg. Sorprendido me tienen.
El caso es que ahora tengo que decir yo como funciona en detalle el
invento. Asi que a ver si lo comprendo bien:
Parte1: PRK1 - Clave privada
PUK1 - Clave publica
Parte2: PRK2 - idem
PUK2 - idem
Yo seré la parte2. Lo que quiero es bajar ficheros de la parte1.
1. Creamos nuestras claves publicas/privadas.
2. nos juntamos y nos pasamos las publicas.
3. ¿como se importa una clave publica?
4.
a) parte1 firma su fichero con su clave privada (correcto?).
b) parte1 encripta su fichero con mi clave publica (correcto?).
5. Me bajo el fichero en cuestion. Y:
a) como desencripto el fichero con mi clave privada?
b) como compruebo la autenticidad del fichero?
Me dejo algo? Ah si, qué es eso del ´fingerprint´?
Muchas gracias!
--
Saludos,
miguel
> ficheros con firma incluida como los emilios con pgp inline:
>
> gpg --sign --clearsign fichero
>
> que produce un fichero.asc con dos secciones, el texto y la firma. Y al
> recibirlo:
>
> gpg fichero.asc
>
> regenera el original comprobándolo: tanto si es bueno como si no, lo
> dice, pero lo regenera. Es posible que el exitcode diga si es bueno o no.
> > 1. La firma del rpm, para asegurar su autenticidad (mas allá de
> > crackeos del servidor)
> > 2. Asegurar la integridad del paquete bajado.
> >
> > - Con 1 sabemos que el paquete no tiene troyanos (si es que nos fiamos
> > del autor y del que lo firma, claro), pero no tenemos integridad.
> > - Con 2 tenemos seguro que lo que nos hemos bajado corresponde bit a
> > bit (o se hace por bytes?) con lo que hay en el servidor...
>
> Con gpg si, si tocas un sólo byte la firma no verifica. Tiene las dos
> cosas :-)
>
>
> > Y si, ahora que me doy cuenta, en muchos repositorios te ponen la
> > firma (1) y el checksum (2) del paquete.
>
> Si, pero es porque hay gente que no sabe como verificar una firma gpg ;-)
>
> Es un poco más complicado, antes tienes que obtener la clave pública por
> otro canal. El checksum es más simple.
Pues mira, al final, han aceptado el gpg. Sorprendido me tienen.
El caso es que ahora tengo que decir yo como funciona en detalle el
invento. Asi que a ver si lo comprendo bien:
Parte1: PRK1 - Clave privada
PUK1 - Clave publica
Parte2: PRK2 - idem
PUK2 - idem
Yo seré la parte2. Lo que quiero es bajar ficheros de la parte1.
1. Creamos nuestras claves publicas/privadas.
2. nos juntamos y nos pasamos las publicas.
3. ¿como se importa una clave publica?
4.
a) parte1 firma su fichero con su clave privada (correcto?).
b) parte1 encripta su fichero con mi clave publica (correcto?).
5. Me bajo el fichero en cuestion. Y:
a) como desencripto el fichero con mi clave privada?
b) como compruebo la autenticidad del fichero?
Me dejo algo? Ah si, qué es eso del ´fingerprint´?
Muchas gracias!
--
Saludos,
miguel
| < Previous | Next > |