RPMSIGN(1) General Commands Manual RPMSIGN(1) BEZEICHNUNG rpmsign - RPM-Paket-Signierung UBERSICHT rpmsign {--addsign|--resign} [Optionen] [Signieroptionen] PAKETDATEI rpmsign --delsign [Optionen] PAKETDATEI rpmsign --delfilesign [Optionen] PAKETDATEI BESCHREIBUNG rpmsign dient zur Bearbeitung digitaler OpenPGP-Signaturen in rpm-Paketdateien. Zur Erzeugung einer Signatur muss rpmsign die Prufsumme des Paketes verifizieren. Deshalb konnen Pakete der Version 4 mit MD5/SHA1-Prufsummen nicht im FIPS-Modus signiert werden. AKTIONEN --addsign erzeugt fur jede angegebene PAKETDATEI eine neue OpenPGP-Signatur und fugt sie ein, es sei denn, es existiert bereits eine Signatur mit identischen Parametern. In diesem Fall wird nichts ausgefuhrt. Es kann eine beliebige Anzahl von V6-Signaturen hinzugefugt werden. --resign erzeugt fur jede angegebene PAKETDATEI eine neue OpenPGP-Signatur und fugt sie ein, wobei alle und alle fruheren Signaturen ersetzt werden. --delsign loscht alle OpenPGP-Signaturen von jeder angegebenen PAKETDATEI. --delfilesign Loscht alle >>IMA<<- und >>fsverity<<-Datei-Signaturen von jeder angegebenen PAKETDATEI. ARGUMENTE PAKETDATEI Eine rpm-Paketdatei. OPTIONEN Siehe rpm-common(8) fur die Optionen, die allen rpm(8)-Programmen gemeinsam sind. OPTIONEN ZUM SIGNIEREN --certpath ZERTIFIKAT verwendet das angegebene ZERTIFIKAT zur Dateisignierung. Wird zusammen mit --signverity verwendet. --fskpath SCHLUSSEL verwendet den angegebenen SCHLUSSEL zur Dateisignierung. Wird zusammen mit --signfiles verwendet. --key-id SCHLUSSEL-ID verwendet den Schlussel mit der angegebenen SCHLUSSEL-ID fur die Signierung. Setzt die %_openpgp_sign_id-Konfiguration ausser Kraft. --rpmv3 erbittet das Hinzufugen von RPM-V3-Kopf- und RPM-V3-Nutzdaten-Signaturen zu V4-Paketen. Diese Signaturen sind teuer und eine redundante Last fur Pakete, wenn ein separater Nutzdaten-Hash existiert (Pakete, die mit RPM >= 4.14 gebaut wurden). rpmsign erkennt eine Notwendigkeit von V3-Signaturen automatisch; diese Option kann aber verwendet werden, um ihre Erzeugung zu erbitten, falls die Signatur der Pakete mit RPM < 4.14 voll uberprufbar sein muss oder aus anderen Grunden der Interoperabilitat. Dies ist bei der Signierung von Paketen der Version 6 wirkungslos. --rpmv4 erbittet das Hinzufugen einer RPM V4-Header-Signatur zu V6-Paketen. Nutzlich, um die Signatur von V6-Paketen mit RPM 4.x-Versionen uberprufbar zu machen. V4-Kompatibilitatssignaturen werden nur hinzugefugt, wenn der Signieralgorithmus einer von jenen ist, die die Version 4 kennt: RSA, EcDSA, EdDSA (und Original-DSA). Da in einem Paket nur eine V4-Signatur vorhanden sein kann, wird diese nur beim ersten --addsign mit einem V4-kompatiblen Algorithmus hinzugefugt und andernfalls ignoriert. Dies ist bei der Signierung von Paketen der Version 4 wirkungslos. --rpmv6 erbittet das Hinzufugen von RPM-Kopfdatensignaturen der Version 6 zu Paketen der Version 4. Dies ist in der Regel immer erfolgreich, da ein Paket eine beliebige Anzahl von V6-Signaturen enthalten kann. V3/V4-Kompatibilitatssignaturen werden nach der gleichen Logik wie --rpmv4 zu einem V6-Paket hinzugefugt. Dies ist bei der Signierung von Paketen der Version 6 wirkungslos. --signfiles signiert Paketdateien. Der Dateisignierungsschlussel (privater RSA-Schlussel) muss vor dem Signieren des Paketes gesetzt sein. Der Schlussel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key konfiguriert werden. --signverity signiert Paketdateien mit >>fsverify<<-Signaturen. Der Dateisignierungsschlussel (privater RSA-Schlussel) und das Dateisignierungszertifikat mussen vor dem Signieren des Paketes gesetzt sein. Der Schlussel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key und das Zertifikat auf der Befehlszeile mit --certpath oder dem Makro %_file_signing_cert konfiguriert werden. --verityalgo ALGORITHMUS wird mit --signverity verwendet, um den Algorithmus zur Signierung vorzugeben. SHA256 und SHA512 werden unterstutzt, wobei SHA256 die Voreinstellung ist, wenn dieses Argument nicht angegeben ist. Er kann auch mit dem Makro %_verity_algorithm angegeben werden. KONFIGURATION Um Pakete zu signieren, mussen Sie Ihr eigenes OpenPGP-Schlusselpaar (auch bekannt als Zertifikat) erstellen und rpm(8) fur dessen Verwendung konfigurieren. Folgende Makros sind verfugbar: %_openpgp_sign_id Der Fingerabdruck oder die Schlussel-ID des zu verwendenden Signierschlussels. Typischerweise ist dies die einzig notige Konfiguration. Falls nicht angegeben, muss --key-id beim Signieren explizit angegeben werden. %_openpgp_sign Die fur die Signierung zu verwendende OpenPGP-Implementierung. Als Werte werden >>gpg<< fur GnuPG (Vorgabe und traditionell) sowie >>sq<< fur Sequoia PGP unterstutzt. Implementierungsspezifische Makros: %_gpg_path Der Ort Ihres GnuPG-Schlusselbunds, wenn er von der Voreinstellung $GNUPGHOME abweicht. %_gpg_name Veraltetes Makro zur Konfiguration der Benutzer-ID mit GnuPG. Verwenden Sie stattdessen das von der Implementierung unabhangige und unzweideutige %_openpgp_sign_id. %_sq_path Der Ort Ihrer Sequoia-Konfiguration, wenn er von der Voreinstellung abweicht. BEISPIELE Beispiel 1: Ersteinrichtung Konfigurieren Sie RPM so, dass Pakete mit Sequoia PGP und einem bestimmten Schlussel signiert werden, indem Sie die folgenden Inhalte zur Datei rpm-config(5) des Benutzers hinzufugen (typischerweise ~/.config/rpm/macros): %_openpgp_sign sq %_openpgp_sign_id 7B36C3EE0CCE86EDBC3EFF2685B274E29F798E08 Beispiel 2: Grundlegende Aktionen rpmsign --addsign hello-2.0-1.x64_rpm Fugt eine Signatur zum Paket hello-2.0-1.x64_rpm hinzu. rpmsign --resign --key-id 771b18d3d7baa28734333c424344591e1964c5fc hello-2.0-1.x64_rpm Ersetzt alle Signaturen im Paket hello-2.0-1.x64_rpm durch eine Signatur, die den Schlussel 771b18d3d7baa28734333c424344591e1964c5fc nutzt. rpmsign --delsign --delfilesign hello-2.0-1.x64_rpm Loscht alle Signaturen vom Paket hello-2.0-1.x64_rpm. EXIT-STATUS Bei Erfolg wird 0 zuruckgegeben, anderenfalls ein Fehlercode ungleich Null. SIEHE AUCH popt(3), rpm(8), rpm-common(8), rpmkeys(8), rpmbuild(1) [rpmsign --help - da RPM die Anpassung der Optionen mittels >>popt<<-Aliasen unterstutzt, ist es unmoglich zu garantieren, dass alles, was im Handbuch beschrieben ist, mit dem ubereinstimmt, was verfugbar ist. http://www.rpm.org/ UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Christoph Brinkhaus und Mario Blattermann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer: . RPM 6.0.1 8. Januar 2026 RPMSIGN(1)