home *** CD-ROM | disk | FTP | other *** search
/ Chip 1998 February / CHIP_2_98.iso / misc / src / rpm / docs / signatures < prev    next >
Text File  |  1997-09-17  |  2KB  |  71 lines
  1. New RPM Signatures
  2. ==================
  3.  
  4. The 2.1 release of RPM had a few improvements in the area of
  5. digital package signatures.  The usage of PGP has been cleaned
  6. up and extended, the signature section in the RPM file format
  7. has been made easily extensible with new signature types, and
  8. packages can have multiple signatures.
  9.  
  10. PGP
  11. ---
  12.  
  13. RPM's previous usage of PGP was cumbersome, and only supported
  14. 1024 bit keys.  Both of these problems have been corrected.
  15.  
  16. Whereas previously you needed many rpmrc entries to clue in
  17. RPM about keyring locations and such, RPM now behaves as PGP
  18. users would expect.  The PGPPATH environment variable can be
  19. used to specify keyring locations.  You can also use a
  20. "pgp_path:" line in your rpmrc to specify a different value
  21. for RPM to use for PGPPATH.  If neither of these are used PGP
  22. uses its default ($HOME/.pgp).
  23.  
  24. If you just want to verify packages, you do not need any entries
  25. in your rpmrc (except possibly "pgp_path:").  The minimal rpmrc
  26. entries to use PGP for package building are:
  27.  
  28. signature: pgp
  29. pgp_name: <name to uniquely select the key to use for signing>
  30.  
  31. Signature Creation
  32. ------------------
  33.  
  34. Signature creation is the same as previous releases: just add
  35. a --sign to your build command line.  You can sign a package
  36. after the package is built with:
  37.  
  38. rpm --resign <package>
  39.  
  40. Using --resign removes any previous signature in the package.
  41. To *add* a signature to a package, leaving all existing
  42. signatures use:
  43.  
  44. rpm --addsign <package>
  45.  
  46. RPM always creates MD5 and SIZE signatures when it build
  47. packages, which means that packages built without --sign can
  48. be "verified" to some extent.  The MD5 signature should catch
  49. problems like corrupt packages, faulty downloads, etc.
  50.  
  51. Signature Verification
  52. ----------------------
  53.  
  54. Package signature verification is the same as previous releases:
  55.  
  56. rpm -K <package>
  57.  
  58. RPM will verify evey signature in the package, which may include
  59. more than one PGP signature.  The output indicates what types of
  60. signatures are being checked.  If any checks fail you'll see a
  61. "NOT OK" message, and you should be worried.
  62.  
  63. If you have a package with PGP signatures, but don't have PGP
  64. installed, but still want to verify it as much as possible, you
  65. can do:
  66.  
  67. rpm -K --nopgp <package>
  68.  
  69. That will cause RPM to skip any PGP signatures, but still check
  70. any others (currently only MD5 and SIZE).
  71.