RPMSIGN(1) General Commands Manual RPMSIGN(1) NOM rpmsign - Signature de paquet RPM SYNOPSIS rpmsign {--addsign|--resign} [options] [options_signature] FICHIER_PAQUET ... rpmsign --delsign [options] FICHIER_PAQUET ... rpmsign --delfilesign [options] FICHIER_PAQUET ... DESCRIPTION rpmsign sert a manipuler les signatures numeriques OpenPGP des paquets rpm. Pour creer une signature, rpmsign doit verifier la somme de controle du paquet. Par consequent, les paquets V4 (version 4) avec des sommes de controle MD5/SHA1 ne peuvent etre signes dans le mode FIPS. OPERATIONS --addsign Generation et insertion d'une nouvelle signature OpenPGP pour chaque FICHIER_PAQUET indique a moins qu'une signature ayant des parametres identiques existe deja, auquel cas rien n'est fait. Un nombre arbitraire de signatures V6 peuvent etre ajoutees. --resign Generation et insertion d'une nouvelle signature OpenPGP pour chaque FICHIER_PAQUET indique en remplacant toute signature preexistante. --delsign Suppression de toutes les signatures de chaque FICHIER_PAQUET indique. --delfilesign Supprimer tous les fichiers de signature IMA (Integrity Measurement Architecture) et fsverity(1) de chaque FICHIER_PAQUET indique. ARGUMENTS FICHIER_PAQUET Fichier de paquet rpm. OPTIONS Consulter rpm-common(8) pour les options communes a tous les executables de rpm. OPTIONS DE SIGNATURE --certpath CERTIFICAT Avec l'option --signverity, utiliser le CERTIFICAT de signature. --fskpath CLE Avec l'option --signfiles, utiliser la CLE de signature. --key-id IDENTIFIANT_CLE Utiliser l'IDENTIFIANT_CLE pour la signature. Outrepassement de la configuration %_openpgp_sign_id. --rpmv3 Demander l'ajout d'une signature << en-tete + donnees >> de RPM V3 sur les paquets V4. Ces signatures sont couteuses et constituent une charge redondante sur les paquets pour lesquels il existe un condense de charge utile distinct (paquets construits avec rpm >= 4.14). rpmsign detecte automatiquement la necessite de signatures V3, mais cette option peut etre utilisee pour demander leur creation si les paquets doivent etre entierement verifiables avec rpm < 4.14 ou pour d'autres raisons d'interoperabilite. Cette option n'a aucun effet lors de la signature de paquet V6. --rpmv4 Ajouter une signature d'entete RPM V4 pour les paquets V6. C'est utile pour rendre la signature de paquets V6 verifiable avec les versions rpm 4x. Les signatures compatibles avec la V4 ne sont ajoutees que si l'algorithme de signature est un de ceux que la V4 autorise : RSA, EcDSA, EdDSA (et DSA originel). Une seule signature V4 peut etre presente dans un paquet, aussi cela est seulement ajoute lors de la premiere option --addsign avec un algorithme compatible avec la V4, et ignore autrement. Cette option n'a aucune effet lors de la signature de paquet V4. --rpmv6 Ajouter de signature d'entete RPM V6 dans les paquets V4. Cette operation reussit generalement car un nombre arbitraire de signatures V6 peuvent exister pour un paquet. Des signatures de compatibilite V3/V4 sont ajoutees en utilisant la meme logique que l'option --rpmv4 sur un paquet V6. Cette option n'a aucun effet lors de la signature de paquet V6. --signfiles Signer les fichiers du paquet. La cle de signature du fichier (cle privee RSA) doit etre definie avant la signature du paquet. Elle peut etre configuree sur la ligne de commande avec l'option --fskpath ou avec la macro %_file_signing_key. --signverity Signer les fichiers du paquet avec les signatures de fsverity. La cle de signature du fichier (cle privee RSA) et le certificat de signature doivent etre definis avant la signature du paquet. La cle peut etre configuree sur la ligne de commande avec l'option --fskpath ou avec la macro %_file_signing_key, et le certificat peut etre configure sur la ligne de commande avec l'option --certpath ou avec la macro %_file_signing_cert. --verityalgo ALGORITHME Option a utiliser avec l'option --signverity pour indiquer l'algorithme de signature. SHA-256 et SHA-512 sont pris en charge avec SHA-256 comme algorithme par defaut si aucun argument n'est indique. Cet algorithme peut etre aussi indique avec la macro %_verity_algorithm. CONFIGURATION Pour pouvoir signer les paquets, une paire de cles OpenPGP (c'est-a-dire le certificat) doit etre creee et rpm(8) doit etre configure pour l'utiliser. Les macros suivantes sont disponibles : %_openpgp_sign_id Empreinte numerique ou identifiant de cle de la cle de signature a utiliser. Typiquement, c'est la seule configuration necessaire. En son absence, l'option --key-id doit etre explicitement indiquee lors de la signature. %_openpgp_sign Implementation OpenPGP a utiliser pour la signature. Les valeurs prises en charge sont << gpg >> pour GnuPG (par defaut et valeur traditionnelle) et << sq >> pour Sequoia PGP. Implementation de macros specifiques : %_gpg_path Emplacement du trousseau GnuPG s'il est different de l'emplacement par defaut $GNUPGHOME. %_gpg_name Macro patrimoniale pour configurer l'identifiant utilisateur avec GnuPG. Utiliser plutot l'implementation independante et non ambigue %_openpgp_sign_id. %_sq_path Emplacement d'une configuration personnalisee de Sequoia, si different de celui par defaut. EXEMPLES Exemple 1. Configuration basique Configuration de RPM pour signer les paquets avec Sequoia PGP et une cle particuliere en ajoutant le contenu suivant au fichier rpm-config(5) de l'utilisateur (typiquement ~/.config/rpm/macros) : %_openpgp_sign sq %_openpgp_sign_id 7B36C3EE0CCE86EDBC3EFF2685B274E29F798E08 Exemple 2. Operations basiques rpmsign --addsign hello-2.0-1.x64_rpm Ajout d'une signature au paquet hello-2.0-1.x64_rpm. rpmsign --resign --key-id 771b18d3d7baa28734333c424344591e1964c5fc hello-2.0-1.x64_rpm Remplacement de toutes les signatures du paquet hello-2.0-1.x64_rpm par une signature en utilisant la cle 771b18d3d7baa28734333c424344591e1964c5fc. rpmsign --delsign --delfilesign hello-2.0-1.x64_rpm Suppression de toutes les signatures du paquet hello-2.0-1.x64_rpm. CODE DE RETOUR En cas de succes, 0 est renvoye, autrement, un code d'echec different de zero est renvoye. VOIR AUSSI popt(3), rpm(8), rpm-common(8), rpmkeys(8), rpmbuild(1) rpmsign --help - comme rpm gere la personnalisation des options a travers des alias popt(3), il est impossible de garantir que ce qui est decrit dans le manuel correspond a ce qui est disponible. http://www.rpm.org/ TRADUCTION La traduction francaise de cette page de manuel a ete creee par Jean- Paul Guillonneau Cette traduction est une documentation libre ; veuillez vous reporter a la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITE LEGALE. Si vous decouvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message a . RPM 6.0.1 8 janvier 2026 RPMSIGN(1)