Red Hat Summit6.8. RPM パッケージへの署名
RPM パッケージに署名することで、第三者がその内容を改変できないようにします。
以下のいずれかのソフトウェアを使用して、RPM パッケージに署名できます。
- Sequoia PGP は OpenPGP 標準をサポートしています。RPM はソフトウェア署名の検証にも Sequoia PGP を使用します。
- GNU Privacy Guard (GnuPG) は古い OpenPGP 標準バージョンをサポートしています。そのため、GnuPG は RHEL 9 以前のバージョンとの互換性に優れています。
RHEL バージョン 10.1 以降では、OpenPGPv6 および RPMv6 署名がサポートされています。これらの署名は、以前のバージョンの RHEL とは互換性がありません。以前のバージョンの RPM はこれらの署名を無視します。パッケージに RPMv4 署名が含まれている場合、RPM は代わりにその署名を使用します。
ただし、RHEL 9.7 以降の RHEL 9 バージョンでは、multisig DNF プラグインを使用して OpenPGPv6 および RPMv6 署名のサポートを有効にできます。
6.8.1. GnuPG を使用した RPM パッケージへの署名
GNU Privacy Guard (GnuPG) を使用して RPM パッケージに署名することで、第三者がパッケージの内容を改変できないようにします。
6.8.1.1. GnuPG を使用してパッケージに署名するための OpenPGP 鍵の作成
GNU Privacy Guard (GnuPG) ソフトウェアを使用して RPM パッケージに署名するには、まず OpenPGP キーを作成する必要があります。
前提条件
-
システムに
rpm-signおよびpinentryパッケージがインストールされている。
手順
OpenPGP 鍵ペアを生成します。
$ gpg --gen-key生成された鍵ペアを確認します。
$ gpg --list-keys公開鍵をエクスポートします。
$ gpg --export -a '<public_key_name>' > RPM-GPG-KEY-pmanager
6.8.1.2. GnuPG を使用してパッケージに署名するための RPM の設定
GNU Privacy Guard (GnuPG) ソフトウェアを使用して RPM パッケージに署名するには、%_gpg_name RPM マクロを指定して RPM を設定します。
前提条件
- GnuPG 用の OpenPGP 鍵を作成した。詳細は、GnuPG を使用してパッケージに署名するための OpenPGP 鍵の作成 を参照してください。
手順
$HOME/.rpmmacrosディレクトリーで%_gpg_nameマクロを定義します。%_gpg_name <key_ID>GnuPG の有効な鍵 ID 値は、鍵のフィンガープリント、フルネーム、または鍵の作成時に指定したメールアドレスです。
6.8.1.3. RPM パッケージへの署名の追加
パッケージは通常、署名なしでビルドします。パッケージのリリース前に第三者がコンテンツを改ざんできないように、パッケージに署名を追加します。
前提条件
- GnuPG 用の OpenPGP 鍵を作成した。詳細は、GnuPG を使用してパッケージに署名するための OpenPGP 鍵の作成 を参照してください。
- パッケージに署名するように RPM を設定した。詳細は、GnuPG を使用してパッケージに署名するための RPM の設定 を参照してください。
-
システムに
rpm-signパッケージがインストールされている。
手順
パッケージに署名を追加します。
$ rpmsign --addsign <package-name>.rpm
検証
エクスポートした OpenPGP 公開鍵 を RPM キーリングにインポートします。
# rpmkeys --import RPM-GPG-KEY-pmanagerGnuPG で鍵 ID を表示します。
$ gpg --list-keys[...] pub rsa3072 2025-05-13 [SC] [expires: 2028-05-12] A8AF1C39AC67A1501450734F6DE8FC866DE0394D [...]鍵 ID は、コマンド出力の 40 文字の文字列です (例:
A8AF1C39AC67A1501450734F6DE8FC866DE0394D)。RPM ファイルに対応する署名があることを確認します。
$ rpm -Kv <package_name>.rpm<package_name>.rpm: Header V4 RSA/SHA256 Signature, key ID 6de0394d: OK Header SHA256 digest: OK Header SHA1 digest: OK Payload SHA256 digest: OK MD5 digest: OK署名の鍵 ID は、OpenPGP の鍵 ID の末尾と一致します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}