Verificando la firma GPG de las imágenes de instalación de openSUSE

Siempre que descargamos la imagen para realizar la instalación de alguna distribución es importante verificar que no contenga errores y que se trate de la imagen que se supone es. Esto último puede hacerse fácilmente verificando la firma GPG.

En esta entrada explicaremos cómo verificar la firma GPG de las imágenes de openSUSE. Para la elaboración de la guía utilizaremos la versión openSUSE-12.3-DVD-i586.iso, aunque el procedimiento se puede extrapolar a cualquiera de las otras versiones disponibles. Se parte además del supuesto de que se utiliza alguna de las versiones previas de la distribución (12.2).

Lo primero es averiguar qué clave se ha utilizado para la firma. Para tal efecto descargamos el archivo ASC (disponible en la misma página de descargas) correspondiente a nuestra imagen, colocamos ambos archivos en el mismo directorio y ejecutamos:

gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso

Nos devolverá algo similar a esto:

gpg: Firmado el jue 07 mar 2013 09:35:40 CST usando clave RSA ID 3DBDC284
gpg: Imposible comprobar la firma: No public key

La clave es «3DBDC284». Teniendo esto en cuenta procedemos entonces a importarla:

gpg --import /usr/lib/rpm/gnupg/keys/gpg-pubkey-3dbdc284-4be1884d.asc

El sistema nos informará que hemos importado la clave con éxito:

gpg: clave 3DBDC284: clave pública "openSUSE Project Signing Key " importada
gpg: Cantidad total procesada: 1
gpg:               importadas: 1  (RSA: 1)

Otras claves de encuentran disponibles en la ruta:

/usr/lib/rpm/gnupg/keys/

Hecho lo anterior podemos verificar la huella de la clave si así lo deseamos:

gpg --fingerprint 3DBDC284

Nos devolverá lo siguiente:

pub   2048R/3DBDC284 2008-11-07 [caduca: 2014-05-04]
      Huella de clave = 22C0 7BA5 3417 8CD0 2EFE  22AA B88B 2FD4 3DBD C284
uid   openSUSE Project Signing Key

Finalmente verificamos, ahora sí, que la firma sea la correcta. Para esto tendremos que volver a ejecutar el comando del primer paso:

gpg --verify openSUSE-12.3-DVD-i586.iso.asc openSUSE-12.3-DVD-i586.iso

Esta vez nos arrojará un resultado exitoso:

gpg: Firmado el jue 07 mar 2013 09:35:40 CST usando clave RSA ID 3DBDC284
gpg: Firma correcta de "openSUSE Project Signing Key "
gpg: ATENCIÓN: ¡Esta clave no está certificada por una firma de confianza!
gpg:           No hay indicios de que la firma pertenezca al propietario.
Huellas dactilares de la clave primaria: 22C0 7BA5 3417 8CD0 2EFE  22AA B88B 2FD4 3DBD C284

Fuente: ubunlog

¿Quién está en línea?

Hay 23973 invitados y ningún miembro en línea