RPM signing

dit document beschrijft nut en werking van RPM signing key

• rpm pakketten bevatten uitvoerbare code. Om aan te geven dat de bestanden afkomstig zijn van een vertrouwde software maker, wordt het RPM bestand ondertekend met een digitale handtekening (Gnu Privacy Guard).
• als het RPM-bestand later nog veranderd is, dient het opnieuwe ondertekend te worden.
• die handtekening geeft dus aan dat de rpm niet veranderd is sinds de laaste (officiele) ondertekening.
• voor rpm's die digitaal ondertekend zijn, moet je de public key van die GPG eerst importeren in de zgn RPM keyring

• download de public siging key: die vind je op de site van de software maker ivv .asc-bestand
• importeer de key:
  • YUM:

    sudo rpm --import <bestand>.asc OF: 
    sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 

  • APT:

    wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

    nu is de handtekening beschikbaar om rpm's die hiermee ondertekend, zijn te controleren

• om alle GPG keys weer te geven:
  • YUM:

    sudo rpm -qa --qf '%{VERSION}-%{RELEASE} %{SUMMARY}\n' gpg-pubkey* 

  • APT:

    sudo apt-key list

• voorbeeld output:

  f4a80eb5-53a7ff4b gpg(CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>)
  352c64e5-52ae6884 gpg(Fedora EPEL (7) <epel@fedoraproject.org>)
  00f97f56-467e318a gpg(Remi Collet <RPMS@FamilleCollet.com>)
  d88e42b4-52371eca gpg(Elasticsearch (Elasticsearch Signing Key) <dev_ops@elasticsearch.org>)
  1bb943db-511147a9 gpg(MariaDB Package Signing Key <package-signing-key@mariadb.org>)

• om een handtekening te verwijderen:
  • YUM:

    rpm -e gpg-pubkey-<signature> 

  • APT:

    sudo apt-key del <keyid>

• om MariaDB signing key te verwijderen op YUM, bv:

  rpm -e gpg-pubkey-1bb943db-511147a9

voeg hier linken toe naar verdere uitleg