签名的RPM的数字签名存储在哪里？

Question

在验证任何文件的数字签名（在这种情况下为rpm）时，签名文件与其签名的文件/消息是分开的。

当我们这样做时， $ rpm --checksig /path/to/mySignedPkg.rpm

它必须使用已配置的存储库的公共RPM-GPG-KEY来验证mySignedPkg.rpm的数字签名。

我的问题是，已签名的RPM的数字签名在哪里？

如果我使用以下命令提取转速 $ rpm2cpio /path/to/mySignedPkg.rpm | cpio -idmv

它不显示数字签名文件。

Answer 1

来自Redhat安全性blog

  

rpm文件格式是二进制格式，大致由4个组成   部分：

     

  
• 旧版线索是一个96字节的标头，其中包含“魔数”（用于标识文件类型）和其他数据；
  
• 可选签名部分；
  
• 标头，它是包含有关RPM软件包文件信息的索引；和
  
• 要写入文件系统的实际文件的cpio存档。
  

因此，签名似乎是标题的一部分，这就是为什么您无法直接提取任何形式的sig文件的原因。

RPM网站上的

This页在标头格式中提供了许多更具体的细节-有关详细信息，请参见Analyzing the Signature Area上的部分。