CheckPackageSign
Проверка подписи пакета
Когда разработчик собирает пакет с программным обеспечением, он подписывает его собственным ключом, чтобы потом можно было проверить целостность и подлинность пакета.
$ rpmsign -Kv /ALT/Sisyphus/x86_64/RPMS.classic/aalib-1.4-alt8rc5.x86_64.rpm
/ALT/Sisyphus/x86_64/RPMS.classic/aalib-1.4-alt8rc5.x86_64.rpm:
Заголовок V4 RSA/SHA512 Signature, key ID da2773bb: NOKEY
Header SHA1 digest: OK (55646034ebf72d56dd998eb2f472743bb1ff0f71)
MD5 digest: OK (0cb307f1262551578b95326fa052ff4a)
V4 RSA/SHA512 Signature, key ID da2773bb: NOKEY
$ gpg2 --show-keys --with-fingerprint --keyid-format=short /usr/lib/alt-gpgkeys/pubring.gpg 2>/dev/null | grep -i da2773bb -A2
pub rsa4096/DA2773BB 2019-05-16 [SC] [ годен до: 2029-05-13]
Отпечаток ключа = DF6C 02E5 F174 D7CD F792 A9CD FF97 9DED DA27 73BB
uid ALT Sisyphus <alt-sisyphus@altlinux.org>
Я не добрался до правильного импорта единичного ключа из alt-gpgkeys.
По умолчанию GnuPG устанавливается при установке системы. Поэтому вы можете сразу воспользоваться GnuPG для проверки любых пакетов, полученных от Red Hat. Но сначала вы должны импортировать открытый ключ Red Hat.
15.3.1. Импорт ключей
Чтобы проверять пакеты Red Hat, вы должны импортировть GPG-ключ Red Hat. Для этого введите в приглашении оболочки следующую команду:
rpm --import /usr/share/rhn/RPM-GPG-KEY
Чтобы просмотреть список всех ключей, используемых для проверки RPM, выполните команду:
rpm -qa gpg-pubkey*
Ключ Red Hat в этом списке будет выглядеть так:
gpg-pubkey-db42a60e-37ea5438
Чтобы узнать о конкретном ключе больше, выполните rpm -qi, добавив в конце результат предыдущей команды, например:
rpm -qi gpg-pubkey-db42a60e-37ea5438
15.3.2. Проверка подписи пакетов
Чтобы, загрузив GnuPG-ключ создателя пакета, проверить GnuPG-подпись этого пакета, выполните следующую команду (замените <rpm-file> именем файла RPM-пакета):
rpm -K <rpm-file>
Если всё проходит хорошо, появляется следующее сообщение md5 gpg OK. Это значит, что подпись пакета была проверена и она не испорчена.