Где хранится цифровая подпись подписанного RPM?

Question

При проверке цифровой подписи любого файла (в данном случае rpm) файл подписи отделен от файла / сообщения, которое он подписывает.

Когда мы это делаем, $ rpm --checksig /path/to/mySignedPkg.rpm

он должен проверять цифровую подпись mySignedPkg.rpm, используя общедоступные RPM-GPG-KEYs настроенных репозиториев.

Мой вопрос: где находится цифровая подпись подписанного RPM?

Если я извлекаю число оборотов в минуту, используя $ rpm2cpio /path/to/mySignedPkg.rpm | cpio -idmv

, он не показывает файл цифровой подписи.

Answer 1

Взято из безопасности Redhat блог

Формат файла rpm является двоичным форматом и в целом состоит из 4 разделов:

• прежнееlead - это 96-байтовый заголовок, который содержит «магические числа» (используемые для определения типа файла) и другие данные;
• необязательный раздел подписи;
• заголовок, который представляет собой индекс, содержащий информацию оФайл пакета RPM;и
• архив cpio фактических файлов, которые должны быть записаны в файловую систему.

Таким образом, может показаться, что подпись является частью заголовка, поэтому вы не можетеИзвлеките любой sig-файл напрямую.

Эта страница на веб-сайте RPM содержит гораздо более подробную информацию о формате заголовка - подробности см. в разделе Analyzing the Signature Area.