2.2. Общие вопросы инсталляции
2.2.2. Проверка целостности пакетов с помощью MD5 Checksums или GnuPG

После того, как вы загрузили нужный вам пакет MySQL, и перед тем как вы будете его устанавливать, вам следует убедиться в том, что он в сохранности и не был кем-либо изменен.

MySQL AB предоставляет два способа проверить пакет: контрольная сумма MD5 и криптографическая подпись с использованием GnuPG, GNU Privacy Guard.

Проверка контрольной суммы MD5

После того как вы загрузили пакет, вы должны проверить, соответствует ли контрольная сумма MD5 загруженного пакета той, что указана на страничке загрузки пакетов. У каждого пакета своя контрольная сумма, которую вы можете проверить такой командой:

shell> md5sum <пакет>

Однако не все операционные системы поддерживают команду md5sum - на некоторых она просто называется md5, а в других она вовсе не поставляется. На Linux эта команда является частью GNU Text Utilities, которые доступны для множества разных платформ.

Вы можете загрузить исходный код по адресу http://www.gnu.org/software/textutils/. Если у вас уже установлен OpenSSL, вы также можете использовать команду openssl md5 <пакет>. Реализация md5 для DOS/Windows доступна по адресу http://www.fourmilab.ch/md5/.

Пример:

shell> md5sum mysql-standard-4.0.10-gamma-pc-linux-i686.tar.gz
mysql-standard-4.0.10-gamma-pc-linux-i686.tar.gz

Вы должны удостовериться, что результирующая контрольная сумма соответствует той, что указана на страничке загрузки возле соответствующего пакета.

Множество зеркальных сайтов также предоставляют файл с именем MD5SUMS, который также содержит MD5 контрольные суммы всех файлов из каталога Downloads. Однако заметьте, что этот файл достаточно легко изменить и это не самый надежный метод проверки целостности пакета. Если вы в сомнениях, вы должны посмотреть на другие зеркала и сравнить увиденное.

Проверка подписи с использованием GnuPG

Гораздо более надежный метод проверки целостности пакета это использование криптографически сигнатур. MySQL AB использует ПО GNU Privacy Guard (GnuPG), открытая альтернатива весьма известному пакету Pretty Good Privacy (PGP) Фила Циммермана (Phil Zimmermann). См. http://www.gnupg.org/ и http://www.openpgp.org/ для более подробной информации про OpenPGP/GnuPG и как его получить и поставить на вашей системе. Большинство поставок Linux уже идут с GnuPG прямо в поставке.

Начиная с MySQL 4.0.10 (Февраль 2003), MySQL AB начала подписывать загружаемые пакеты с помощью GnuPG. Криптографические сигнатуры являются гораздо более надежным методом проверки целостности и аутентичности файла.

Для проверки подписи конкретного пакета, вам в первую очередь следует получить копию публичного ключа GPG <build@mysql.com>. Вы можете либо взять этот ключ прямо отсюда, либо взять его на http://www.keyserver.net/.

Key ID:
pub  1024D/5072E1F5 2003-02-03
 MySQL Package signing key (www.mysql.com) <build@mysql.com>
Fingerprint: A4A9 4068 76FC BD3C 4567  70C8 8C71 8D3B 5072 E1F5

Public Key (ASCII-armored):

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

=YJkx
-----END PGP PUBLIC KEY BLOCK-----

Вы можете импортировать этот ключ в ваш публичный репозитарий ключей (public keyring) используя gpg --import. См. документацию на GPG для более подробной информации о том, как работать с публичными ключами.

После того, как вы загрузили и импортирлвали публичный ключ сборки, вы можете загрузить выбранный вами пакет MySQL и соответствующую подпись, доступную на той же страничке загрузки.

Файл сигнатуры имеет расширение .asc. Например, сигнатура для mysql-standard-4.0.10-gamma-pc-linux-i686.tar.gz будет mysql-standard-4.0.10-gamma-pc-linux-i686.tar.gz.asc. Удостоверьтесь, чтобы оба файла находятся в том же самом каталоге и затем запустите такую команду для проверки сигнатуры файла:

shell> gpg --verify <package>.asc

Example:

shell> gpg --verify mysql-standard-4.0.10-gamma-pc-linux-i686.tar.gz.asc
gpg: Warning: using insecure memory!
gpg: Signature made Mon 03 Feb 2003 08:50:39 PM MET using DSA key ID 5072E1F5
gpg: Good signature from
 "MySQL Package signing key (www.mysql.com) <build@mysql.com>"

Сообщение "Good signature" сообщает вам о том, что все в порядке.

Для пакетов RPM, отдельного файла подписи не предоставляется - пакеты RPM уже сами по себе имеют встроенную поддержку подписей GPG и контрольных сумм MD5. Вы можете проверить их такой командой:

shell> rpm --checksig <package>.rpm

Пример:

shell> rpm --checksig MySQL-server-4.0.10-0.i386.rpm
MySQL-server-4.0.10-0.i386.rpm: md5 gpg OK

Внимание: Если вы используете RPM 4.1 и он сообщает следующее: (GPG) NOT OK (MISSING KEYS: GPG#5072e1f5) (даже несмотря на то, что вы импортировали ключ в ваш публичный репозиторий ключей GPG, keyring) - вам следует импортировать ключ в репозиторий ключей RPM. RPM 4.1 больше не использует ваш репозиторий ключей GPG (и GPG вообще), но поддерживает свой репозиторий, поскольку RPM - это общесистемная утилита, а репозиторий ключей GPG - это специфичный для пользователя файл). Чтобы импортировать публичный ключ MySQL в RPM, используйте вот такую команду:

shell> rpm --import <pubkey>

Пример:

shell> rpm --import mysql_pubkey.asc

Если вдруг вы заметите что контрольные суммы MD5 или подпись GPG не совпадают, попробуйте в первую очередь загрузить соответствующий пакет еще один раз, может быть, даже с другого сервера. Если вы не сможете успешно удостовериться в целостности пакета, пожалуйста, сообщите нам о подобных инцидентах, включая полное имя пакета и адрес сайта, с которого вы пытались загрузить пакет, на адрес <webmaster@mysql.com> или <build@mysql.com>.