Início

Verificando Procedência e Integridade dos pacotes

Posted janeiro 24th, 2006 by BrOffice.org
in

Quando baixamos um pacote, seja executável, seja compactado(zip, tar.gz, tar.bz2, etc.), é importante verificar a procedência e integridade destes pacotes para evitar possíveis infecções de seus computadores, ou instalação de programas maliciosos. Para tanto, existe alguns procedimentos que podem ser executados: verificação de integridade, através do md5sum, e/ou assinatura digital daquele arquivo.

Verificação de Integridade

Após baixar o arquivo desejado, baixamos também o arquivo md5sum.txt do espelho. O arquivo md5sum.txt contém as impressões digitais do arquivo original. Existe uma infinidade de programas gráficos que verificam md5sum para windows. Se preferir, pode baixar um cliente texto. Se você usa linux, provavelmente já o encontre instalado. A sintaxe é simples:

    c:\md5 nome_do_arquivo  --> no windows
    $ md5sum nome_do_arquivo -- no linux

Como resultado, será exibido um grande número, que deve ser identico ao fornecido pelo md5sum.txt. Caso exista qualquer diferenca entre os resultados, o arquivo baixado é diferente do que está no servidor.

Assinatura Digital

ATENÇÃO: A chave do ftpadmin@broffice.org é:
1024D/50F0C56A - 2D5F 68C1 C1CA 085B C1D5 BD5A 8C24 4E71 50F0 C56A

A chave com ID 1024D/A4E17F27 é de 2006, e está expirada.
A chave com ID 1024D/513EB974 foi utilizada para testes e não é mais válida.

A assinatura digital é um pouco diferente da verificação de integridade, pois além de verificar a integridade, ele verifica se o pacote é realmente de quem diz ser. Para verificar uma assinatura precisamos do GnuPG, que pode ser obtido aqui. Após instalar no seu computador, execute o comando:

    $ gpg --verify BrOffice.org_2.0.1_windows_install_pt-BR.exe.asc
    gpg: Signature made Mon Jan 23 17:16:41 2006 BRST using DSA key ID A4E17F27
    gpg: Good signature from "Chave de Assinatura de Repositorio do BrOffice.org (2006) <ftpadmin@broffice.org>"

Neste caso, foi reconhecido Pode ocorrer um erro, caso você não disponha da chave no seu chaveiro, resultando algo assim:

    $ gpg --verify BrOffice.org_2.0.1_windows_install_pt-BR.exe.asc
    gpg: Signature made Seg 23 Jan 2006 16:16:41 AMST using DSA key ID A4E17F27
    gpg: Impossível verificar assinatura: chave pública não encontrada

Desta forma, será necessário a importação da chave, como demonstrado abaixo, e em seguida, verificar a assinatura.

    $ gpg --recv-key A4E17F27
    gpg: requesting key A4E17F27 from hkp server wwwkeys.eu.pgp.net
    gpg: key A4E17F27 public key "Chave de Assinatura de Repositorio do BrOffice.org (2006) " imported
    gpg: Número total processado: 1
    gpg:               importados: 1
  • 55251 leituras

Back to top