签名的RPM的数字签名存储在哪里?

时间:2019-06-10 13:16:49

标签: digital-signature rpm yum signed

在验证任何文件的数字签名(在这种情况下为rpm)时,签名文件与其签名的文件/消息是分开的。

当我们这样做时, $ rpm --checksig /path/to/mySignedPkg.rpm

它必须使用已配置的存储库的公共RPM-GPG-KEY来验证mySignedPkg.rpm的数字签名。

我的问题是,已签名的RPM的数字签名在哪里?

如果我使用以下命令提取转速 $ rpm2cpio /path/to/mySignedPkg.rpm | cpio -idmv

它不显示数字签名文件。

1 个答案:

答案 0 :(得分:2)

来自Redhat安全性blog

  

rpm文件格式是二进制格式,大致由4个组成   部分:

     
      
  • 旧版线索是一个96字节的标头,其中包含“魔数”(用于标识文件类型)和其他数据;
    •   
  • 可选签名部分;
    •   
  • 标头,它是包含有关RPM软件包文件信息的索引;和
    •   
  • 要写入文件系统的实际文件的cpio存档。
    •   

因此,签名似乎是标题的一部分,这就是为什么您无法直接提取任何形式的sig文件的原因。

RPM网站上的

This页在标头格式中提供了许多更具体的细节-有关详细信息,请参见Analyzing the Signature Area上的部分。

相关问题
最新问题