4.9. RPM パッケージへの署名

手順

1. OpenPGP 鍵ペアを生成します。

   $ gpg --gen-key

   Copy to Clipboard Toggle word wrap

2. 生成された鍵ペアを確認します。

   $ gpg --list-keys

   Copy to Clipboard Toggle word wrap

3. 公開鍵をエクスポートします。

   $ gpg --export -a '<public_key_name>' > RPM-GPG-KEY-pmanager

   Copy to Clipboard Toggle word wrap

検証

1. エクスポートした OpenPGP 公開鍵 を RPM キーリングにインポートします。

   # rpmkeys --import RPM-GPG-KEY-pmanager

   Copy to Clipboard Toggle word wrap

2. GnuPG で鍵 ID を表示します。

   $ gpg --list-keys
   [...]
   pub   rsa3072 2025-05-13 [SC] [expires: 2028-05-12]
         A8AF1C39AC67A1501450734F6DE8FC866DE0394D
   [...]

   Copy to Clipboard Toggle word wrap

   鍵 ID は、コマンド出力の 40 文字の文字列です (例: A8AF1C39AC67A1501450734F6DE8FC866DE0394D)。

3. RPM ファイルに対応する署名があることを確認します。

   $ rpm -Kv <package_name>.rpm
   <package_name>.rpm:
       Header V4 RSA/SHA256 Signature, key ID 6de0394d: OK
       Header SHA256 digest: OK
       Header SHA1 digest: OK
       Payload SHA256 digest: OK
       MD5 digest: OK

   Copy to Clipboard Toggle word wrap

   署名の鍵 ID は、OpenPGP の鍵 ID の末尾と一致します。

手順

1. Sequoia PGP ツールをインストールします。

   # dnf install sequoia-sq

   Copy to Clipboard Toggle word wrap

2. OpenPGP 鍵ペアを生成します。

   $ sq key generate --own-key --userid <key_name>

   Copy to Clipboard Toggle word wrap

3. 生成された鍵ペアを確認します。

   $ sq key list

   Copy to Clipboard Toggle word wrap

4. 公開鍵をエクスポートします。

   $ sq cert export --cert-userid '<key_name>' > RPM-PGP-KEY-pmanager

   Copy to Clipboard Toggle word wrap

手順

1. macros.rpmsign-sequoia ファイルを /etc/rpm ディレクトリーにコピーします。

   # cp /usr/share/doc/rpm/macros.rpmsign-sequoia /etc/rpm/

   Copy to Clipboard Toggle word wrap

2. 鍵リストの出力から有効な OpenPGP 鍵のフィンガープリント値を取得します。

   $ sq cert list --cert-userid '<key_name>'
    - 7E4B52101EB3DB08967A1E5EB595D12FDA65BA50
      - created 2025-05-13 10:33:29 UTC
      - will expire 2028-05-13T03:59:50Z
   
      - [    ✓    ] <key_name>

   Copy to Clipboard Toggle word wrap

   鍵のフィンガープリントは、出力の最初の行にある 40 文字の文字列です (例: 7E4B52101EB3DB08967A1E5EB595D12FDA65BA50)。

3. 次のように、$HOME/.rpmmacros ファイルで %_gpg_name マクロを定義します。

   %_gpg_name <key_fingerprint>

   Copy to Clipboard Toggle word wrap

   フィンガープリントの代わりに完全な鍵 ID を使用することもできます。

   注記

   GnuPG とは異なり、Sequoia PGP では完全な鍵 ID またはフィンガープリントしか使用できません。

検証

1. エクスポートした OpenPGP 公開鍵 を RPM キーリングにインポートします。

   # rpmkeys --import RPM-PGP-KEY-pmanager

   Copy to Clipboard Toggle word wrap

2. 署名鍵のフィンガープリントを表示します。

   $ sq key list --cert-userid <key_name>
    - 7E4B52101EB3DB08967A1E5EB595D12FDA65BA50
      - user ID: <key_name> (authenticated)
      - created 2025-05-13 10:33:29 UTC
      - will expire 2028-05-13T03:59:50Z
      - usable for signing
      - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked
   
      - 78E56DD2E12E02CFEEA27F8B9FE57972D6BCEA6F
        - created 2025-05-13 10:33:29 UTC
        - will expire 2028-05-13T03:59:50Z
        - usable for decryption
        - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked
      - C06E45F8ABC3E59F44A9E811578DDDB66422E345
        - created 2025-05-13 10:33:29 UTC
        - will expire 2028-05-13T03:59:50Z
        - usable for signing
        - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked
      - E0BD231AB350AD6802D44C0A270E79FFC39C3B25
        - created 2025-05-13 10:33:29 UTC
        - will expire 2028-05-13T03:59:50Z
        - usable for signing
        - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked

   Copy to Clipboard Toggle word wrap

   鍵のフィンガープリントは、通常 sq key list --cert-userid <key_name> コマンド出力内の署名サブキーです (例: E0BD231AB350AD6802D44C0A270E79FFC39C3B25)。

3. RPM ファイルに対応する署名があることを確認します。次に例を示します。

   $ rpm -Kv <package_name>.rpm
   <package_name>.rpm:
       Header V4 EdDSA/SHA512 Signature, key ID c39c3b25: OK
       Header SHA256 digest: OK
       Header SHA1 digest: OK
       Payload SHA256 digest: OK
       MD5 digest: OK

   Copy to Clipboard Toggle word wrap

   署名の鍵 ID は、鍵のフィンガープリントの末尾と一致します。