元数据签名模型

dmacvicar@suse.de

模型的工作方式如下。

一个软件包拥有其校验和。列出此文件的元数据也列出其校验和。任何其他引用元数据文件的元数据也列出该文件的校验和。在不更改列出软件包校验和的元数据文件的校验和的情况下，不可能更改软件包的校验和。

创建了一个校验和列表链，直到主索引。主索引包含链中下一个元数据文件的校验和。

主索引使用私钥签名。签名和公钥在仓库中提供。

如果您尝试更改主索引，您将破坏签名。

公钥实际上不是必需的。但是，您需要拥有它才能检查主索引签名是否使用该密钥生成。

SUSE 模型使用 RPM 密钥列表作为受信任密钥列表。当软件包管理器启动时，所有 rpm 密钥都会被导入到运行时的临时受信任密钥环中。从仓库读取的所有密钥都将被放置在非受信任的临时运行时密钥环中（如果它们尚未存在于受信任密钥环中）。

遵循以下工作流程