Почему md5 упоминается в выводе проверки подписи rpm с опцией --nodigest

Я проверял ключ gpg с помощью следующей команды.

rpm --checksig <rpm name> --nodigest

Мой rpm подписан алгоритмом RSA/SHA256.

Вопрос в том, почему в моем выводе есть (md5).

Выход: rsa (md5) pgp OK

Когда я запускаю ту же команду с включенным параметром -v (подробный), в ней нет упоминания о md5.

Выход:

   Header V3 RSA/SHA256 Signature, key ID b1275ea3: OK
   V3 RSA/SHA256 Signature, key ID b1275ea3: OK

security rpm gpg-signature
person Rupesh    schedule 15.05.2017    source источник
comment
Я не знаю, какую версию утилиты rpm и какой дистрибутив вы используете, но актуальную документацию Fedora: docs.fedoraproject.org/en-US/Fedora/25/html/ объясняет это. Новая команда для использования — rpmkey. Если вы запустите его с параметром `-Kv', он выведет раздел дайджеста MD5, который должен убедиться, что ваш пакет не был изменен во время передачи.   -  person Pierre-Alain TORET    schedule 15.05.2017
comment
Я согласен с тем, что проверка целостности необходима, но, выполняя --nodigest, я говорю, что не заинтересован в проверке этого и просто нуждаюсь в проверке подписи. Просмотрел код rpm и нашел ниже: case RPMSIGTAG_PGP: n = (upper? (MD5) PGP: (md5) pgp); значит для RPMSIGTAG_PGP дописать эту строку с выводом, но все равно остается вопрос почему md5?   -  person Rupesh    schedule 17.05.2017
comment
ftp.rpm.org/max-rpm/ s1-rpm-checksig-using-rpm-k.html здесь говорится, что контрольная сумма вычисляется как во время сборки, так и во время проверки, и, похоже, для этой цели используется хэш-функция md5. Но я согласен с вами, этот вариант выглядит так, как будто он не работает должным образом.   -  person Pierre-Alain TORET    schedule 17.05.2017

Ответы (1)


arrow_upward
2
arrow_downward

Когда в прошлом веке в RPM были добавлены подписи, единственной общедоступной реализацией цифровой подписи был PGP (который в то время был RSA/MD5).

Краткая форма вывода rpm --checksig была ранней попыткой предоставить дополнительную информацию о пользователе и добавила (md5) к выводу.

Настоящим недостатком rpm --checksig является то, что выходные данные пытались обобщить очень сложные проверки целостности в одной строке с использованием верхнего и нижнего регистра и круглых скобок, что почти непостижимо занудно.

Используйте -Kvv, чтобы увидеть больше полезных деталей.

person Jeff Johnson    schedule 17.05.2017
comment
Хорошо, вы видите, что это ошибка с утилитой gpg. Мне было интересно, являются ли они реальными проверками MD5, которые они выполняют, если да, то это будет проблемой для меня, если это просто сообщение, я согласен с этим. - person Rupesh; 23.05.2017
comment
RPM обычно использует более надежные хэши, чем MD5, для проверки пакетов и файлов, но не препятствует использованию MD5 пользователями. - person Jeff Johnson; 23.05.2017