Équivalent de `rpm -K` en utilisant` apt`

9

Quel est l' aptéquivalent de rpm -K *.rpm, où -Kest défini comme la vérification de la signature du référentiel dans man rpmet dans RPM maximum ?

Exemple de situation:

sudo rpm --import https://mirrors.example.com/rpm/RPM-GPG-KEY-release &&
rpm -K example.rpm
debian rhel apt rpm gpg tsujp
la source
4
dpkgest l'équivalent de rpmpas apt. En avez- .debvous un que vous souhaitez installer mais souhaitez vérifier l'intégrité de ou installez-vous quelque chose à partir de vos référentiels?
kemotep
Je n'en ai pas .debqu'un rpm. Je pourrais l'utiliser alienpour le convertir en un .debbien. Ou plutôt, je l'ai été mais pas correctement car chaque fois que j'ai essayé de vérifier la signature (probablement incorrectement), j'obtiens des erreurs et al.
tsujp
Eh bien, cela fait partie du problème. Vous n'avez pas mentionné que vous utilisiez alien. Je ne pense pas qu'il puisse vérifier les signatures, ou s'il le pouvait, il modifie le contenu du paquet de sorte que la signature ne correspondrait pas entre le debet de rpmtoute façon. Comme le souligne l'utilisateur Stephen Kitt, si les responsables du package n'ont pas utilisé debsig-verifyla debversion de votre logiciel, le package ne sera pas signé en premier lieu. Veuillez modifier votre question pour être plus précis sur les étapes à suivre pour résoudre vos problèmes. Je vous remercie.
kemotep

Réponses:

8

L'équivalent est debsig-verify, qui vérifie les signatures intégrées dans les .debpackages à l' aide de clés et de politiques stockées localement.

Malheureusement, cela n'est pas utile en général car les paquets Debian ne sont généralement pas signés individuellement; en fait, pour autant que je sache, les archives Debian rejettent les téléchargements signés individuellement. Debian signe les référentiels dans leur ensemble, plutôt que des packages individuels, ce qui signifie que les packages peuvent être vérifiés lors de leur téléchargement, mais pas nécessairement par la suite. (Voir Comment l'authenticité des paquets Debian est-elle garantie? Pour plus de détails sur l'authentification du référentiel.) aptVérifiera les paquets avant de les installer, en utilisant ses informations mises en cache localement et ses clés stockées localement, mais je ne pense pas qu'il y ait moyen de lui demander de vérifier un package en tant que tâche distincte.

Stephen Kitt
la source