Я строю проект, основанный на открытой среде yocto. Я установил подпись gpg, используя рецепт sign_rpm.rpm -K показ подписанный, но не по правильному ключу
Затем я планирую загрузить rpms для использования с Smart.
Установив правильные открытые ключи на доске разработки, я могу проверить, что rpms, сгенерированные сборкой, правильно подписаны (с использованием rpm -K.) Я также могу проверить, что файлы, созданные до этого, не проходят проверка.
Проблема: когда мой сотрудник (у которого нет изменений в рецептах для создания подписанных файлов или закрытого ключа) генерирует сборку, и я вытаскиваю ее через Smart, файлы отображаются как подписанные.
Файлы Я подписал отчет:
(sha1) АДС sha1 md5 OK
Файлы он загрузил (или скопирована непосредственно мне) сообщить то же самое.
Поскольку я подписываю файлы gpg (или, по крайней мере, я считаю, что я), должен ли я видеть gpg на выходе команды rpm -K?
И называть это больше раз, число оборотов в минуту я скопировал, прежде чем я построил подписанными RPMs правильно показывает, что это без знака:
RSA sha1 md5 NOT_OK
Надеюсь, я объяснил это достаточно хорошо, кто-то может видеть, почему: A - файлы, которые не должны быть подписаны, проходят проверку подписи, а B - почему более старые rpms выходят из строя, как ожидалось.
Что мне делать, чтобы проверить заголовок и полезную нагрузку в RPM5? Или вы бы сказали, что похоже, что я неправильно подписываюсь с gpg? – Chris
Вам нужно будет повторно добавить (или в основном повторить) заголовок + сигнатуры полезной нагрузки в RPM5. Подпись заголовка + полезной нагрузки была отменена еще в 2008 году, главным образом потому, что полезная нагрузка не существует (и подпись не может быть проверена) после установки * .rpm. Подписи только для заголовка могут быть проверены на установленных пакетах. –
Я пошел с внешним подписями RPM, сбрасывал смятение в процессе Smart-обновления и не был таким изящным, как хотелось бы, но, похоже, это лучший способ сделать это. – Chris