`apt`を使用した` rpm -K`と同等

9

何であるaptのと同等rpm -K *.rpm-Kリポジトリの署名を検証することと定義されるman rpmとして最大RPMは

状況の例:

sudo rpm --import https://mirrors.example.com/rpm/RPM-GPG-KEY-release &&
rpm -K example.rpm
debian  rhel  apt  rpm  gpg 
tsujp
ソース
4
dpkgrpmnot と同等aptです。Doが持っている.deb、インストールしたいが、の整合性を検証したいか、あなたのリポジトリから何かをインストールしていますか?
kemotep
私は持っていない.debだけrpm。けれどもalienそれをに変換するために使用できます.deb。むしろ、私はそうしていましたが、適切にではありませんが、署名を検証しようとしたときは(おそらく間違って)エラーが発生します。
tsujp
まあそれは問題の一部です。使用しているとは言わなかったalien。私はそれが署名を検証することができると信じていない、またはそれは、パッケージの内容を変更することができれば署名は間で一致しないようにdebrpm、とにかく。ユーザーのStephen Kittが指摘するように、パッケージのメンテナーがソフトウェアdebsig-verifydebバージョンに使用していなかった場合、パッケージはそもそも署名されません。質問を編集して、問題に対処するための具体的な手順を示してください。ありがとうございました。
kemotep

回答:

8

同等のものはでdebsig-verify、ローカルに保存されたキーとポリシーを使用して.debパッケージに埋め込まれた署名を検証ます

残念ながら、Debianパッケージは通常個別に署名されていないため、これは一般的には役に立ちません。実際、私が知る限り、Debianアーカイブは個別に署名されたアップロードを拒否します。Debianは個々のパッケージではなく、リポジトリ全体に署名します。つまり、パッケージはダウンロードされたときに検証できますが、必ずしも後で検証することはできません。(リポジトリ認証の詳細については、Debianパッケージの信頼性はどのように保証されますか?を参照してください。)aptパッケージをインストールする前に、ローカルにキャッシュされた情報とローカルに保存されたキーを使用してパッケージを検証しますが、パッケージを別のタスクとして確認します。

スティーブン・キット
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.