GnuPG 是由 RFC4880 定义的完整和免费实施的 OpenPGP 标准(也称为 PGP)。GnuPG(也称为 GPG)允许您对数据和通信进行加密和签名;它具有通用的密钥管理系统,以及用于各种公钥目录的访问模块。GPG 是一种识别密钥系统,可用于对文件或电子邮件进行“签名”,这样一旦在某个位置收到并使用了相同的文件,您就可以检查它们的真实性。
使用 GPG 密钥对数据进行签名可使数据接收方验证该数据在签名后未发生任何修改(假设接收方拥有发送方的公共 GPG 密钥的副本)。
RPM 软件包文件 (.rpm) 和 yum 存储库元数据可使用 GPG 进行签名。
Linux RPM 使用 GPG 对软件包进行签名。GPG 不依赖于证书颁发机构 (CA) 网络,而是依赖于个人签名和对等信任。PSO 提供有效期为一年的 GPG 来对我们的 RPM 文件进行签名,并且我们在每个内部版本中都包含了公钥。要验证 RPM 签名,您需要先将 Dell EMC Database App Agent 公钥导入到 gpg keyring,然后验证 rpm。
可以使用此知识库文章中列出的公共 GPG 密钥对 Database App Agent Linux RPM 软件包进行签名。
Power Protect 和 Database App Agent 对 GPG 密钥的支持:
从 Database App Agent 4.x 开始,Database App Agent 添加了对 GPG 密钥签名的支持。GPG 密钥的有效期为 1 年。如果 RPM 签名的密钥已过期,则签名验证需要使用在签名期间使用过的密钥。例如,如果使用名为 key-1 的 GPG 密钥在 2017 年对 RPM 进行签名,则当该密钥过期后,便不能在 2018 年使用相同的密钥对 RPM 进行签名,但是可以将其用于验证已签名的 RPM 签名。
本文档在最后一节中列出了 GPG 密钥列表。
验证 GPG 签名的步骤:
- 使用相应 Linux 操作系统的 checksig 或等效项检查 RPM 是否具有有效的 GPG 签名。例如,在 RHEL 或 SuSE 上,运行以下命令以验证签名。Dell EMC Database App Agent GPG 的密钥为 1024 位。
#rpm --checksig -v emcdbappagent-19.5.0.0-1.x86_64.rpm
emcdbappagent-19.5.0.0-1.x86_64.rpm:
Header V3 RSA/SHA1 Signature, key ID c5dfe03d: NOKEY
Header SHA1 digest: OK 81e359380a5e229d96c79135aea58d935369c827)
V3 RSA/SHA1 Signature, key ID c5dfe03d: NOKEY
MD5 digest: OK (cc2ac691f115f7671900c8896722159c)
- 将本文档最后一部分突出显示的 GPG 公钥复制到一个文件中,并使用以下命令将其导入。
- 使用 rpm import <key_file> 命令导入密钥。这会将 GPG 公钥导入 Dell EMC Database App Agent 的本地客户端系统中。RPM 数据库将针对 Dell EMC Database App Agent 提供密钥。
- Database App Agent RPM 软件包现已显示为已通过 GPG 签名。
#rpm --checksig -v emcdbappagent-19.5.0.0-1.x86_64.rpm
emcdbappagent-19.5.0.0-1.x86_64.rpm:
Header V3 RSA/SHA1 Signature, key ID c5dfe03d: OK
Header SHA1 digest: OK (81e359380a5e229d96c79135aea58d935369c827)
V3 RSA/SHA1 Signature, key ID c5dfe03d: OK
MD5 digest: OK (cc2ac691f115f7671900c8896722159c)
- 使用相同的密钥文件,验证 Power Protect Agent Service RPM 的签名。
rpm --checksig -v powerprotect-agentsvc-19.5.0.0.0-1.x86_64.rpm
powerprotect-agentsvc-19.5.0.0.0-1.x86_64.rpm:
Header V3 RSA/SHA1 Signature, key ID c5dfe03d: OK
Header SHA1 digest: OK (b3d9f688b16f0c4df7b4859e3bea21f863797c18)
V3 RSA/SHA1 Signature, key ID c5dfe03d: OK
MD5 digest: OK (159e9880113414c93ab44119d421c1cb)
-----BEGIN PGP PUBLIC KEY BLOCK-----
版本: GnuPG v1
mQENBF2DHtMBCADG3Ea2oBmPB7P4Ix93l62asenFfeX5VjgJSgD9Zm4DVFtN248J
Xbt7Hk49sMeQJBBaU5V6YZI5Qk1dMrZyftU231/RWTAh9zHpZA+/wOF8B/u3309P
Fhni2TnUtOmn6jn6rAHxxRfXV071efVoje6cNCcJp0o2w06gc2oD3tPpFU4ft0J/
rKw430DtvEqCkiMO5Wpw3Q+PQlqJJr7tKSDpy0WuRzxvE2UV5o4SEQYSfkSwbxIF
qb4iz1VoCU/7VfEkpc+CNn5i99EdL7gKoXJVCQMI+HRVs/mqXgn5s/PaW9ij/Oaa
l/OPsnvlcqBwT1vTNcJ7NIGJ33JJe3Uu5DB5ABEBAAG0H0VNQyBOZXRXb3JrZXIg
PHN1cHBvcnRAZW1jLmNvbT6JAT4EEwECACgFAl2DHtMCGwMFCQPCZwAGCwkIBwMC
BhUIAgkKCwQWAgMBAh4BAheAAAoJEH7SFIvF3+A9C2kIALiCTdWpJhWMIBFwnyPc
GS244z4QCEu+wQK4pMC06a3TXD0AKCk6i8ado7LolKQA3rWqRm7+M0NCxUQA0396
pLLxLoT/miHMXSjDrpDpel1L5tcMCabF75WXs39d08O7djhbyt2kCt1ApcE09krb
sgiknCr7hoEbA6G09taC5ttdlYW5Fd0lZV61FA+9NQCMjZJ2rbhYbhN797J55hGV
Vy0fRX/yENtVBcisUPvezGrDqFgVe2zG07IZ4kGOuPTaGUFOjw7DzPbTLO1d7VAF
3UCaAmjKOI5Q9aB/gnBlZvXIwXfwQeL9IqhT3qvZUdT2gkIpg+kQifqeiAg/1GaS
39g=
=m8P2
-----END PGP PUBLIC KEY BLOCK-----