rpm -Kv
実験パッケージの1つで、次の結果が得られました。
clime@coprbox ~/v4tests $ rpm -Kv signed10.rpm
signed10.rpm:
Header V3 RSA/SHA1 Signature, key ID f67e1676: NOKEY
Header SHA1 digest: OK (6289e7d8d0a73be107945df48cefb762a5036eb1)
V3 RSA/SHA1 Signature, key ID f67e1676: BAD
MD5 digest: OK (3c8cafddad94a1e75adf52c59203cd3a)
今、「署名」に言及する2行があります。
Header V3 RSA/SHA1 Signature, key ID f67e1676: NOKEY
V3 RSA/SHA1 Signature, key ID f67e1676: BAD
最初の行は何を意味し、2行目は何を意味しますか?
答え1
から: http://www.rpm.org/max-rpm/s1-rpm-checksig-using-rpm-k.html
md5メッセージはパッケージファイルに含まれており、パッケージをビルドしたときに計算されたチェックサムが検証中にRPMで計算されたチェックサムと一致することを示します。両方のチェックサムが一致するため、パッケージが変更された可能性はありません。
したがって、署名は1つですが(あなたの場合)、ダイジェスト(チェックサム)は2つです。
最初の行はgpgをインポートしなかったことを意味します。
2 行目は署名が無効であることを示します。
答え2
私はすべてのrpmファイルに実際に2つの署名があることを発見しました。 1つは署名ヘッダーのみで、2番目の署名ヘッダー+ペイロードデータです。おっしゃるとおり、2つのダイジェストもあります。 1 つはヘッダー + ペイロードの md5 で、2 番目 (sha1) はヘッダーのみにあります。