4.9. RPM 패키지에 서명

프로세스

1. OpenPGP 키 쌍을 생성합니다.

   $ gpg --gen-key

   Copy to Clipboard Toggle word wrap

2. 생성된 키 쌍을 확인합니다.

   $ gpg --list-keys

   Copy to Clipboard Toggle word wrap

3. 공개 키를 내보냅니다.

   $ gpg --export -a '<public_key_name>' > RPM-GPG-KEY-pmanager

   Copy to Clipboard Toggle word wrap

검증

1. 내보낸 OpenPGP 공개 키를 RPM 인증 키로 가져옵니다.

   # rpmkeys --import RPM-GPG-KEY-pmanager

   Copy to Clipboard Toggle word wrap

2. GnuPG를 사용하여 키 ID를 표시합니다.

   $ gpg --list-keys
   [...]
   pub   rsa3072 2025-05-13 [SC] [expires: 2028-05-12]
         A8AF1C39AC67A1501450734F6DE8FC866DE0394D
   [...]

   Copy to Clipboard Toggle word wrap

   키 ID는 명령 출력의 40자 문자열입니다(예: A8AF1C39AC67A1501450734F6DE8FC866DE0394D ).

3. RPM 파일에 해당 서명이 있는지 확인합니다.

   $ rpm -Kv <package_name>.rpm
   <package_name>.rpm:
       Header V4 RSA/SHA256 Signature, key ID 6de0394d: OK
       Header SHA256 digest: OK
       Header SHA1 digest: OK
       Payload SHA256 digest: OK
       MD5 digest: OK

   Copy to Clipboard Toggle word wrap

   서명 키 ID는 OpenPGP 키 ID의 마지막 부분과 일치합니다.

프로세스

1. Sequoia PGP 도구를 설치합니다.

   # dnf install sequoia-sq

   Copy to Clipboard Toggle word wrap

2. OpenPGP 키 쌍을 생성합니다.

   $ sq key generate --own-key --userid <key_name>

   Copy to Clipboard Toggle word wrap

3. 생성된 키 쌍을 확인합니다.

   $ sq key list

   Copy to Clipboard Toggle word wrap

4. 공개 키를 내보냅니다.

   $ sq cert export --cert-userid '<key_name>' > RPM-PGP-KEY-pmanager

   Copy to Clipboard Toggle word wrap

프로세스

1. macros.rpmsign-sequoia 파일을 /etc/rpm 디렉터리에 복사합니다.

   # cp /usr/share/doc/rpm/macros.rpmsign-sequoia /etc/rpm/

   Copy to Clipboard Toggle word wrap

2. 키 목록 출력에서 유효한 OpenPGP 키 지문 값을 가져옵니다.

   $ sq cert list --cert-userid '<key_name>'
    - 7E4B52101EB3DB08967A1E5EB595D12FDA65BA50
      - created 2025-05-13 10:33:29 UTC
      - will expire 2028-05-13T03:59:50Z
   
      - [    ✓    ] <key_name>

   Copy to Clipboard Toggle word wrap

   키 지문은 출력의 첫 번째 줄에 있는 40자 문자열입니다(예: 7E4B52101EB3DB08967A1E595D12FDA65BA50 ).

3. 다음과 같이 $HOME/.rpmmacros 파일에 %_gpg_name 매크로를 정의합니다.

   %_gpg_name <key_fingerprint>

   Copy to Clipboard Toggle word wrap

   지문 대신 전체 키 ID를 사용할 수도 있습니다.

   참고

   GnuPG와 달리 Sequoia PGP는 전체 키 ID 또는 지문만 허용합니다.

검증

1. 내보낸 OpenPGP 공개 키를 RPM 인증 키로 가져옵니다.

   # rpmkeys --import RPM-PGP-KEY-pmanager

   Copy to Clipboard Toggle word wrap

2. 서명 키의 키 지문을 표시합니다.

   $ sq key list --cert-userid <key_name>
    - 7E4B52101EB3DB08967A1E5EB595D12FDA65BA50
      - user ID: <key_name> (authenticated)
      - created 2025-05-13 10:33:29 UTC
      - will expire 2028-05-13T03:59:50Z
      - usable for signing
      - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked
   
      - 78E56DD2E12E02CFEEA27F8B9FE57972D6BCEA6F
        - created 2025-05-13 10:33:29 UTC
        - will expire 2028-05-13T03:59:50Z
        - usable for decryption
        - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked
      - C06E45F8ABC3E59F44A9E811578DDDB66422E345
        - created 2025-05-13 10:33:29 UTC
        - will expire 2028-05-13T03:59:50Z
        - usable for signing
        - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked
      - E0BD231AB350AD6802D44C0A270E79FFC39C3B25
        - created 2025-05-13 10:33:29 UTC
        - will expire 2028-05-13T03:59:50Z
        - usable for signing
        - @softkeys/7E4B52101EB3DB08967A1E5EB595D12FDA65BA50: available, unlocked

   Copy to Clipboard Toggle word wrap

   키 지문은 일반적으로 sq 키 목록 --cert-userid < key_name > 명령 출력의 서명 하위 키입니다(예: E0BD231AB350AD6802D44C0A270E79FFC3B25 ).

3. RPM 파일에 해당 서명이 있는지 확인합니다. 예를 들면 다음과 같습니다.

   $ rpm -Kv <package_name>.rpm
   <package_name>.rpm:
       Header V4 EdDSA/SHA512 Signature, key ID c39c3b25: OK
       Header SHA256 digest: OK
       Header SHA1 digest: OK
       Payload SHA256 digest: OK
       MD5 digest: OK

   Copy to Clipboard Toggle word wrap

   서명 키 ID는 키 지문의 마지막 부분과 일치합니다.