PGP署名の確認

パッケージをダウンロードした時に、ダウンロードしてパッケージが改竄などされていないかを確認するためにPGP署名の確認をする。
talloc-2.0.7のパッケージをダウンロードした時の対応を明記します。
ftp://samba.org/pub/ から下記をダウンロードします。

talloc-2.0.7.tar.gz
talloc-2.0.7.tar.asc

ダウンロードした talloc-2.0.7.tar.gz を解凍する。
解凍後にPGP署名をチェックする。

[user@hoge ~]$ gunzip samba-3.0.37.tar.gz
[user@hoge ~]$ gpg --verify talloc-2.0.7.tar.asc
gpg: 2011年09月16日 16時39分36秒 JSTにRSA鍵ID 13084025で施された署名
gpg: 署名を検査できません: 公開鍵が見つかりません
[user@hoge ~]$ 

公開鍵をインポートします。

[user@hoge ~]$ gpg --keyserver pgp.mit.edu --recv-key 13084025
gpg: 鍵13084025をhkpからサーバーpgp.mit.eduに要求
gpg: 鍵13084025: 公開鍵“Samba Library Distribution Key ”を読み込みました
gpg: 絶対的に信用する鍵が見つかりません
gpg:     処理数の合計: 1
gpg:           読込み: 1  (RSA: 1)
[user@hoge ~]$ 

再度署名の認証を行います。

[user@hoge ~]$ gpg --verify talloc-2.0.7.tar.asc
gpg: 2011年09月16日 16時39分36秒 JSTにRSA鍵ID 13084025で施された署名
gpg: “Samba Library Distribution Key ”からの正しい署名
gpg: 警告: この鍵は信用できる署名で証明されていません!
gpg:       この署名が所有者のものかどうかの検証手段がありません。
主鍵の指紋: 9147 A339 7195 18EE 9011  BCB5 4793 9161 1308 4025
[user@hoge ~]$ 

警告が表示されていますが、正しい署名であると認証されました。

鍵の削除について

鍵の削除は簡単に行えます。
下記のコマンドで鍵を削除できます。

gpg --delete-key [検索語句]

例：
gpg --delete-key Hoge
gpg --delete-key hogehoge@example.com

検索語句には、鍵ID、ユーザーID、ユーザー名、コメント、メールアドレスやその一部が利用できます。
今回の talloc で試したのが下記の通りです。
※メールアドレスで指定してみました。

[user@hoge ~]$ gpg --delete-key samba-bugs@samba.org
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.


pub  2048R/13084025 2011-01-12 Samba Library Distribution Key 

この鍵を鍵輪から削除しますか? (y/N) y

上記で鍵が削除されました。