Scroll to navigation

RPMSIGN(1) General Commands Manual RPMSIGN(1)

NOM

rpmsign – Signature de paquet RPM

SYNOPSIS

rpmsign {--addsign|--resign} [options] [options_signature] FICHIER_PAQUET ...

rpmsign --delsign [options] FICHIER_PAQUET ...

rpmsign --delfilesign [options] FICHIER_PAQUET ...

DESCRIPTION

rpmsign sert à manipuler les signatures numériques OpenPGP des paquets rpm.

Pour créer une signature, rpmsign doit vérifier la somme de contrôle du paquet. Par conséquent, les paquets V4 (version 4) avec des sommes de contrôle MD5/SHA1 ne peuvent être signés dans le mode FIPS.

OPÉRATIONS

--addsign

Génération et insertion d’une nouvelle signature OpenPGP pour chaque FICHIER_PAQUET indiqué à moins qu’une signature ayant des paramètres identiques existe déjà, auquel cas rien n’est fait. Un nombre arbitraire de signatures V6 peuvent être ajoutées.

--resign

Génération et insertion d’une nouvelle signature OpenPGP pour chaque FICHIER_PAQUET indiqué en remplaçant toute signature préexistante.

--delsign

Suppression de toutes les signatures de chaque FICHIER_PAQUET indiqué.

--delfilesign

Supprimer tous les fichiers de signature IMA (Integrity Measurement Architecture) et fsverity(1) de chaque FICHIER_PAQUET indiqué.

ARGUMENTS

FICHIER_PAQUET

Fichier de paquet rpm.

OPTIONS

Consulter rpm-common(8) pour les options communes à tous les exécutables de rpm.

OPTIONS DE SIGNATURE

--certpath CERTIFICAT

Avec l’option --signverity, utiliser le CERTIFICAT de signature.

--fskpath CLÉ

Avec l’option --signfiles, utiliser la CLÉ de signature.

--key-id IDENTIFIANT_CLÉ

Utiliser l’IDENTIFIANT_CLÉ pour la signature. Outrepassement de la configuration %_openpgp_sign_id.

--rpmv3

Demander l'ajout d'une signature « en-tête + données » de RPM V3 sur les paquets V4. Ces signatures sont coûteuses et constituent une charge redondante sur les paquets pour lesquels il existe un condensé de charge utile distinct (paquets construits avec rpm >= 4.14). rpmsign détecte automatiquement la nécessité de signatures V3, mais cette option peut être utilisée pour demander leur création si les paquets doivent être entièrement vérifiables avec rpm < 4.14 ou pour d'autres raisons d'interopérabilité.

Cette option n’a aucun effet lors de la signature de paquet V6.

--rpmv4

Ajouter une signature d’entête RPM V4 pour les paquets V6. C’est utile pour rendre la signature de paquets V6 vérifiable avec les versions rpm 4x.

Les signatures compatibles avec la V4 ne sont ajoutées que si l’algorithme de signature est un de ceux que la V4 autorise : RSA, EcDSA, EdDSA (et DSA originel). Une seule signature V4 peut être présente dans un paquet, aussi cela est seulement ajouté lors de la première option --addsign avec un algorithme compatible avec la V4, et ignoré autrement.

Cette option n’a aucune effet lors de la signature de paquet V4.

--rpmv6

Ajouter de signature d’entête RPM V6 dans les paquets V4.

Cette opération réussit généralement car un nombre arbitraire de signatures V6 peuvent exister pour un paquet. Des signatures de compatibilité V3/V4 sont ajoutées en utilisant la même logique que l’option --rpmv4 sur un paquet V6.

Cette option n’a aucun effet lors de la signature de paquet V6.

--signfiles

Signer les fichiers du paquet. La clé de signature du fichier (clé privée RSA) doit être définie avant la signature du paquet. Elle peut être configurée sur la ligne de commande avec l’option --fskpath ou avec la macro %_file_signing_key.

--signverity

Signer les fichiers du paquet avec les signatures de fsverity. La clé de signature du fichier (clé privée RSA) et le certificat de signature doivent être définis avant la signature du paquet. La clé peut être configurée sur la ligne de commande avec l’option --fskpath ou avec la macro %_file_signing_key, et le certificat peut être configuré sur la ligne de commande avec l’option --certpath ou avec la macro %_file_signing_cert.

--verityalgo ALGORITHME

Option à utiliser avec l’option --signverity pour indiquer l’algorithme de signature. SHA-256 et SHA-512 sont pris en charge avec SHA-256 comme algorithme par défaut si aucun argument n’est indiqué. Cet algorithme peut être aussi indiqué avec la macro %_verity_algorithm.

CONFIGURATION

Pour pouvoir signer les paquets, une paire de clés OpenPGP (c’est-à-dire le certificat) doit être créée et rpm(8) doit être configuré pour l’utiliser. Les macros suivantes sont disponibles :

%_openpgp_sign_id

Empreinte numérique ou identifiant de clé de la clé de signature à utiliser. Typiquement, c’est la seule configuration nécessaire. En son absence, l’option --key-id doit être explicitement indiquée lors de la signature.

%_openpgp_sign

Implémentation OpenPGP à utiliser pour la signature. Les valeurs prises en charge sont « gpg » pour GnuPG (par défaut et valeur traditionnelle) et « sq » pour Sequoia PGP.

Implémentation de macros spécifiques :

%_gpg_path

Emplacement du trousseau GnuPG s’il est différent de l’emplacement par défaut $GNUPGHOME.

%_gpg_name

Macro patrimoniale pour configurer l’identifiant utilisateur avec GnuPG. Utiliser plutôt l’implémentation indépendante et non ambigüe %_openpgp_sign_id.

%_sq_path

Emplacement d’une configuration personnalisée de Sequoia, si différent de celui par défaut.

EXEMPLES

Exemple 1. Configuration basique

Configuration de RPM pour signer les paquets avec Sequoia PGP et une clé particulière en ajoutant le contenu suivant au fichier rpm-config(5) de l’utilisateur (typiquement ~/.config/rpm/macros) :

%_openpgp_sign sq
%_openpgp_sign_id 7B36C3EE0CCE86EDBC3EFF2685B274E29F798E08

Exemple 2. Opérations basiques

rpmsign --addsign hello-2.0-1.x64_rpm

Ajout d’une signature au paquet hello-2.0-1.x64_rpm.

rpmsign --resign --key-id 771b18d3d7baa28734333c424344591e1964c5fc hello-2.0-1.x64_rpm

Remplacement de toutes les signatures du paquet hello-2.0-1.x64_rpm par une signature en utilisant la clé 771b18d3d7baa28734333c424344591e1964c5fc.

rpmsign --delsign --delfilesign hello-2.0-1.x64_rpm

Suppression de toutes les signatures du paquet hello-2.0-1.x64_rpm.

CODE DE RETOUR

En cas de succès, 0 est renvoyé, autrement, un code d'échec différent de zéro est renvoyé.

VOIR AUSSI

popt(3), rpm(8), rpm-common(8), rpmkeys(8), rpmbuild(1)

rpmsign --help – comme rpm gère la personnalisation des options à travers des alias popt(3), il est impossible de garantir que ce qui est décrit dans le manuel correspond à ce qui est disponible.

http://www.rpm.org/

TRADUCTION

La traduction française de cette page de manuel a été créée par Jean-Paul Guillonneau <guillonneau.jeanpaul@free.fr>

Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.

15 décembre 2025 RPM 6.0.1