B.3. パッケージの署名確認

パッケージが破損していないことや、改ざんされていないことを確認する場合には、シェルプロンプトで以下のコマンドを入力して md5sum のみを検証します (<rpm_file> は RPM パッケージのファイル名):
rpm -K --nosignature <rpm_file>
<rpm_file>: rsa sha1 (md5) pgp md5 OK という出力 (特に OK の部分) が表示されます。この短いメッセージは、ダウンロード中にファイルが破損していないことを示しています。より詳細なメッセージを表示するには、コマンドで -K-Kvv に置き換えて下さい。
又、パッケージを作成した開発者についてはどの程度信頼できるでしょうか。パッケージが、開発者の GnuPG キー を使用して 署名されている 場合には、その開発者が名乗った通りの人物であることがわかります。
RPM パッケージは、GNU Privacy Guard (GnuPG) を使用して署名することができます。これは、ダウンロードしたパッケージの信頼性の確認に役立ちます。
GnuPG は、セキュアな通信ツールで、電子プライバシープログラム PGP の暗号化技術に代わる完全かつ無償のツールです。GnuPG を使用して、ドキュメントの有効性の認証を行ったり、他の受信者とやり取りするデータを暗号化/復号化することができます。GnuPG は PGP5.x ファイルの復号化と検証が可能です。
GnuPG はインストール時にデフォルトでインストールされるので、即時に使用を開始して、Red Hat から受信するパッケージを検証することができます。この作業を行う前には、まず Red Hat の公開鍵をインポートする必要があります。

B.3.1. キーのインポート

Red Hat のパッケージを検証するには、Red Hat の GnuPG キーをインポートする必要があります。シェルプロンプトで以下のコマンドを実行します。
rpm --import /usr/share/rhn/RPM-GPG-KEY
RPM 検証用のインストール済みの全キーの一覧を表示するには、以下のコマンドを実行します:
rpm -qa gpg-pubkey*
Red Hat のキーの場合は、以下のような出力が表示されます:
gpg-pubkey-db42a60e-37ea5438
特定のキーの詳細を表示するには、rpm -qi の後に上記のコマンドの出力を続けて入力して下さい。
rpm -qi gpg-pubkey-db42a60e-37ea5438