Database App Agent: Assinatura de RPM usando a chave pública GPG

GnuPG é uma implementação completa e gratuita do padrão OpenPGP, conforme definido pelo RFC4880 (também conhecido como PGP). O GnuPG (também conhecido como GPG) permite que você criptografe e assine dados e comunicações. Ele apresenta um sistema versátil de gerenciamento de chaves, com módulos de acesso para todos os tipos de diretórios de chaves públicas. GPG é um sistema de chaves de identificação e pode ser usado para "assinar" arquivos ou e-mails para que você possa verificar a autenticidade deles depois que forem recebidos e usados em algum outro lugar.

A assinatura de dados com uma chave GPG permite que o destinatário dos dados verifique se nenhuma modificação ocorreu após a assinatura (supondo que o destinatário tenha uma cópia da chave GPG pública do remetente).

Os arquivos de pacote RPM (.rpm) e os metadados do repositório yum podem ser assinados com GPG.

O Linux RPM usa GPG para assinar pacotes. O GPG não depende de uma rede de Autoridades de Certificação (CA), mas de assinaturas individuais e da confiança em colegas. O PSO fornece um GPG válido por um ano para assinar nossos arquivos RPM. Além disso, a chave pública é incluída em cada compilação. Para verificar a assinatura de um RPM, você precisa primeiro importar a chave pública do Database App Agent da Dell EMC para o chaveiro gpg e, depois, verificar o rpm.  

Os pacotes Linux RPM do Database App Agent podem ser assinados usando uma chave GPG pública, listada neste artigo da KB.

Suporte do Power Protect e Database App Agent para chaves GPG:
O Database App Agent adicionou um suporte para a assinatura de chaves GPG a partir da versão 4.x do Database App Agent. A chave GPG tem um período de validade de 1 ano. Se os RPMs tiverem assinado com uma chave que expirou, a validação da assinatura exigirá a chave que foi usada durante a assinatura. Por exemplo, se a chave GPG key-1 foi usada para assinar os RPMs em 2017, ela não poderá ser usada para assinar os RPMs em 2018 caso tenha expirado, No entanto, a chave poderá ser usada para validar a assinatura dos RPMs assinados.

A lista de chaves GPG é mencionada na última seção deste documento.

Procedimento para validar a assinatura GPG:

1. Verifique se o RPM tem uma assinatura GPG válida usando checksig, ou equivalente, para o respectivo SO Linux. Por exemplo, no RHEL ou SUSE, execute o comando abaixo para validar a assinatura. A chave GPG do Database App Agent da Dell EMC é de 1024 bits.

2. Copie a chave pública GPG, destacada na última seção deste documento, em um arquivo e importe-a usando o comando abaixo.
3. Importe a chave usando rpm  import <key_file>. Essa ação importa a chave pública GPG para o sistema cliente local do Database App Agent da Dell EMC. O banco de dados de RPM terá uma chave para o Database App Agent da Dell EMC.
4. O pacote RPM do Database App Agent agora é exibido como GPG assinado.

5. Usando o mesmo arquivo de chave, verifique a assinatura do RPM do Power Protect Agent Service.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1

mQENBF2DHtMBCADG3Ea2oBmPB7P4Ix93l62asenFfeX5VjgJSgD9Zm4DVFtN248J
Xbt7Hk49sMeQJBBaU5V6YZI5Qk1dMrZyftU231/RWTAh9zHpZA+/wOF8B/u3309P
Fhni2TnUtOmn6jn6rAHxxRfXV071efVoje6cNCcJp0o2w06gc2oD3tPpFU4ft0J/
rKw430DtvEqCkiMO5Wpw3Q+PQlqJJr7tKSDpy0WuRzxvE2UV5o4SEQYSfkSwbxIF
qb4iz1VoCU/7VfEkpc+CNn5i99EdL7gKoXJVCQMI+HRVs/mqXgn5s/PaW9ij/Oaa
l/OPsnvlcqBwT1vTNcJ7NIGJ33JJe3Uu5DB5ABEBAAG0H0VNQyBOZXRXb3JrZXIg
PHN1cHBvcnRAZW1jLmNvbT6JAT4EEwECACgFAl2DHtMCGwMFCQPCZwAGCwkIBwMC
BhUIAgkKCwQWAgMBAh4BAheAAAoJEH7SFIvF3+A9C2kIALiCTdWpJhWMIBFwnyPc
GS244z4QCEu+wQK4pMC06a3TXD0AKCk6i8ado7LolKQA3rWqRm7+M0NCxUQA0396
pLLxLoT/miHMXSjDrpDpel1L5tcMCabF75WXs39d08O7djhbyt2kCt1ApcE09krb
sgiknCr7hoEbA6G09taC5ttdlYW5Fd0lZV61FA+9NQCMjZJ2rbhYbhN797J55hGV
Vy0fRX/yENtVBcisUPvezGrDqFgVe2zG07IZ4kGOuPTaGUFOjw7DzPbTLO1d7VAF
3UCaAmjKOI5Q9aB/gnBlZvXIwXfwQeL9IqhT3qvZUdT2gkIpg+kQifqeiAg/1GaS
39g=
=m8P2
-----END PGP PUBLIC KEY BLOCK-----