Quelques explications complémentaires:
1- signature:
La signature d'un rpm consiste, de façon très schématique, est une suite de chiffres ou de caractères, obtenue à partir d'une fonction dont les paramètres généraux sont le fichier rpm lui-même (succession de bits) et une clé secrète.
La signature correspond donc à: F(fichier_rpm, clé_secrète).
La clé secrète est uniquement connue du producteur du fichier.
A cette clé secrète, correspond une clé dite publique, qui peut être distribuée. Cette clé est utilisée dans une autre fonction pour vérifier que la signature du rpm considéré a bien été réalisée à l'appui de la clé secrète. La fonction de vérification est dès lors: G(fichier_rpm, clé_publique) = résultat.
Si le résultat est "OK", la signature du fichier rpm est conforme, sinon, elle ne l'est pas (Lapalisse ...). Le second cas signifie soit que la signature n'est pas conforme, soit que le rpm ne correspond pas à la signature, soit les deux. En d'autres termes, la discordance n'assure pas l'utilisateur final de la sincérité et de l'intégrité du rm. Il y a dès lors présomption d'anomalie (remplacement du rpm d'origine par un rpm falsifié par exemple).
=> vérifier la signature d'un rpm est donc un gage de sécurité très important.
2- vérification des signatures:
La vérification des signatures est réalisée par gpg. Pour s'assurer que gpg est bien implanté, saisir, dans une console, la commande: gpg --version.
La correspondance entre clé secrète (ou privée) et clé publique dépend de l'algorithme utilisé. La commande mentionnée précédemment permet de lister les algorithmes supportés.
3- le traitement des signatures par yum:
Un man yum.conf permet d'obtenir quelques précisions. Le fichier /etc/yum.conf précise s'il y a ou non vérification des signatures pour chaque rpm, lors de la tentative d'implantation. Ce comportement est réglé par le paramètre gpgcheck.
gpgcheck: peut valoir 1 ou 0. S'il est positionné à 1, yum vérifie la signature du rpm. Gpgcheck peut être positionné en deux endroits:
* soit dans la section main, il est alors valable pour tous les dépôts (repositories),
* soit dans un ou plusieurs dépôts, il est alors valable pour ces dépôts et la valeur générale figurant dans la section main s'applique aux autres.
Par défaut (si le paramètre n'est pas fixé), il vaut 0 (pas de contrôle). Il faut rappeler qu'une ligne préfixée par # est ignorée.
Il semble que l'exemple de fichier yum.conf fourni dans le tutorial.... ne sollicite pas le contrôle de signature (!!!). Chacun fait ce qu'il veut mais il aura été prévenu.
4- importer des clés publiques:
Un petit préalable. Yum s'appuie en fait sur rpm. Rpm est un programme qui traite les fichiers en format rpm Red Hat Packages Manager:
* le fichier rpm comprend les programmes exécutables et la description des dépendances et exclusions (ce dont les programmes ont besoin et a contrario, ce qu'ils excluent pour pouvoir être implantés)
* le programme constitue une base des fichiers rpm installés ou pouvant être installés,
* il peut ainsi, par confrontation, déterminer les rpm qui peuvent être actualisés, les nouveaux rpm en dépôt sans correspondance, etc...
* il règle les dépendances lorsque l'utilisateur sollicite l'implantation d'un rpm.
Yum simplifie l'utilisation de rpm. Par ailleurs, il ajoute une fonction nouvelle: la gestion des dépôts (repositories).
Un dépôt est un endroit (accessible en http, ftp, en local ...) qui contient un ensemble de rpm. Yum accède à une description structurée (méta langage!) de ces dépôts et peut ainsi dresser un état des packages qui y sont stockés, ce que rpm ne fait pas.
Pour importer des clés publiques, on invoque directement rpm avec les paramètres
rpm --import le_fichier_correspondant_à_la_clé
Nota: en sus des adresses mentionnées dans le post précédent, on intégrera aussi les clés implantées en local:
rpm --import /usr/share/doc/fedora-release-*/*GPG-KEY*
5- méthode alternative:
Apt et son environnement graphique synaptic peuvent être utilisés. Ils se substituent à rpm et yum. La description de l'implantation d'apt et de synaptic (qui inclut une vérification systématique des clés et propose les modalités de télé chargement de celles-ci) est donnée à l'adresse:
http://fedoranews.org/contributors/stanton_finley/fc3_note/