Scroll to navigation

RPMSIGN(1) General Commands Manual RPMSIGN(1)

BEZEICHNUNG

rpmsign - RPM-Paket-Signierung

ÜBERSICHT

rpmsign {--addsign|--resign} [Optionen] [Signieroptionen] PAKETDATEI

rpmsign --delsign [Optionen] PAKETDATEI

rpmsign --delfilesign [Optionen] PAKETDATEI

BESCHREIBUNG

rpmsign dient zur Bearbeitung digitaler OpenPGP-Signaturen in rpm-Paketdateien.

Zur Erzeugung einer Signatur muss rpmsign die Prüfsumme des Paketes verifizieren. Deshalb können Pakete der Version 4 mit MD5/SHA1-Prüfsummen nicht im FIPS-Modus signiert werden.

AKTIONEN

--addsign

erzeugt für jede angegebene PAKETDATEI eine neue OpenPGP-Signatur und fügt sie ein, es sei denn, es existiert bereits eine Signatur mit identischen Parametern. In diesem Fall wird nichts ausgeführt. Es kann eine beliebige Anzahl von V6-Signaturen hinzugefügt werden.

--resign

erzeugt für jede angegebene PAKETDATEI eine neue OpenPGP-Signatur und fügt sie ein, wobei alle und alle früheren Signaturen ersetzt werden.

--delsign

löscht alle OpenPGP-Signaturen von jeder angegebenen PAKETDATEI.

--delfilesign

Löscht alle »IMA«- und »fsverity«-Datei-Signaturen von jeder angegebenen PAKETDATEI.

ARGUMENTE

PAKETDATEI

Eine rpm-Paketdatei.

OPTIONEN

Siehe rpm-common(8) für die Optionen, die allen rpm(8)-Programmen gemeinsam sind.

OPTIONEN ZUM SIGNIEREN

--certpath ZERTIFIKAT

verwendet das angegebene ZERTIFIKAT zur Dateisignierung. Wird zusammen mit --signverity verwendet.

--fskpath SCHLÜSSEL

verwendet den angegebenen SCHLÜSSEL zur Dateisignierung. Wird zusammen mit --signfiles verwendet.

--key-id SCHLÜSSEL-ID

verwendet den Schlüssel mit der angegebenen SCHLÜSSEL-ID für die Signierung. Setzt die %_openpgp_sign_id-Konfiguration außer Kraft.

--rpmv3

erbittet das Hinzufügen von RPM-V3-Kopf- und RPM-V3-Nutzdaten-Signaturen zu V4-Paketen. Diese Signaturen sind teuer und eine redundante Last für Pakete, wenn ein separater Nutzdaten-Hash existiert (Pakete, die mit RPM >= 4.14 gebaut wurden). rpmsign erkennt eine Notwendigkeit von V3-Signaturen automatisch; diese Option kann aber verwendet werden, um ihre Erzeugung zu erbitten, falls die Signatur der Pakete mit RPM < 4.14 voll überprüfbar sein muss oder aus anderen Gründen der Interoperabilität.

Dies ist bei der Signierung von Paketen der Version 6 wirkungslos.

--rpmv4

erbittet das Hinzufügen einer RPM V4-Header-Signatur zu V6-Paketen. Nützlich, um die Signatur von V6-Paketen mit RPM 4.x-Versionen überprüfbar zu machen.

V4-Kompatibilitätssignaturen werden nur hinzugefügt, wenn der Signieralgorithmus einer von jenen ist, die die Version 4 kennt: RSA, EcDSA, EdDSA (und Original-DSA). Da in einem Paket nur eine V4-Signatur vorhanden sein kann, wird diese nur beim ersten --addsign mit einem V4-kompatiblen Algorithmus hinzugefügt und andernfalls ignoriert.

Dies ist bei der Signierung von Paketen der Version 4 wirkungslos.

--rpmv6

erbittet das Hinzufügen von RPM-Kopfdatensignaturen der Version 6 zu Paketen der Version 4.

Dies ist in der Regel immer erfolgreich, da ein Paket eine beliebige Anzahl von V6-Signaturen enthalten kann. V3/V4-Kompatibilitätssignaturen werden nach der gleichen Logik wie --rpmv4 zu einem V6-Paket hinzugefügt.

Dies ist bei der Signierung von Paketen der Version 6 wirkungslos.

--signfiles

signiert Paketdateien. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) muss vor dem Signieren des Paketes gesetzt sein. Der Schlüssel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key konfiguriert werden.

--signverity

signiert Paketdateien mit »fsverify«-Signaturen. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) und das Dateisignierungszertifikat müssen vor dem Signieren des Paketes gesetzt sein. Der Schlüssel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key und das Zertifikat auf der Befehlszeile mit --certpath oder dem Makro %_file_signing_cert konfiguriert werden.

--verityalgo ALGORITHMUS

wird mit --signverity verwendet, um den Algorithmus zur Signierung vorzugeben. SHA256 und SHA512 werden unterstützt, wobei SHA256 die Voreinstellung ist, wenn dieses Argument nicht angegeben ist. Er kann auch mit dem Makro %_verity_algorithm angegeben werden.

KONFIGURATION

Um Pakete zu signieren, müssen Sie Ihr eigenes OpenPGP-Schlüsselpaar (auch bekannt als Zertifikat) erstellen und rpm(8) für dessen Verwendung konfigurieren. Folgende Makros sind verfügbar:

%_openpgp_sign_id

Der Fingerabdruck oder die Schlüssel-ID des zu verwendenden Signierschlüssels. Typischerweise ist dies die einzig nötige Konfiguration. Falls nicht angegeben, muss --key-id beim Signieren explizit angegeben werden.

%_openpgp_sign

Die für die Signierung zu verwendende OpenPGP-Implementierung. Als Werte werden »gpg« für GnuPG (Vorgabe und traditionell) sowie »sq« für Sequoia PGP unterstützt.

Implementierungsspezifische Makros:

%_gpg_path

Der Ort Ihres GnuPG-Schlüsselbunds, wenn er von der Voreinstellung $GNUPGHOME abweicht.

%_gpg_name

Veraltetes Makro zur Konfiguration der Benutzer-ID mit GnuPG. Verwenden Sie stattdessen das von der Implementierung unabhängige und unzweideutige %_openpgp_sign_id.

%_sq_path

Der Ort Ihrer Sequoia-Konfiguration, wenn er von der Voreinstellung abweicht.

BEISPIELE

Um rpm beispielsweise für die Signierung mit Sequoia PGP mit einem Schlüssel mit dem Fingerabdruck 7B36C3EE0CCE86EDBC3EFF2685B274E29F798E08 zu konfigurieren, schreiben Sie

%_openpgp_sign sq
%_openpgp_signer 7B36C3EE0CCE86EDBC3EFF2685B274E29F798E08

in eine Makro-Konfigurationsdatei, normalerweise ~/.config/rpm/macros. Im Abschnitt Makro-Konfiguration in der Handbuchseite zu rpm-common(8) finden Sie weitere Details.

rpmsign --addsign hello-2.0-1.x64_rpm

Fügt eine Signatur zum Paket hello-2.0-1.x64_rpm hinzu.

rpmsign --resign --key-id 771b18d3d7baa28734333c424344591e1964c5fc hello-2.0-1.x64_rpm

Ersetzt alle Signaturen im Paket hello-2.0-1.x64_rpm durch eine Signatur, die den Schlüssel »771b18d3d7baa28734333c424344591e1964c5fc« nutzt.

rpmsign --delsign --delfilesign hello-2.0-1.x64_rpm

Löscht alle Signaturen vom Paket hello-2.0-1.x64_rpm.

EXIT-STATUS

Bei Erfolg wird 0 zurückgegeben, anderenfalls ein Fehlercode ungleich Null.

SIEHE AUCH

popt(3), rpm(8), rpm-common(8), rpmkeys(8), rpmbuild(1)

[rpmsign --help - da RPM die Anpassung der Optionen mittels »popt«-Aliasen unterstützt, ist es unmöglich zu garantieren, dass alles, was im Handbuch beschrieben ist, mit dem übereinstimmt, was verfügbar ist.

http://www.rpm.org/

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Christoph Brinkhaus <c.brinkhaus@t-online.de> und Mario Blättermann <mario.blaettermann@gmail.com> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.

7. November 2025 RPM 6.0.0