Chaque dépôt dispose d'une clé pour vérifier la signature des rpm.
Un paquetage est signé par son émetteur; la signature exprime solidairement la composition du paquetage -les différents bits qui composent le fichier!- et l'identité de l'émetteur.
Une signature vérifiée prouve qu'il s'agit du bon fichier émis par le bon dépôt. Toute altération est ainsi détectée.
Les clés sont propres à chacun des dépôts.
Pour les dépôts "de référence", ces clés sont directement installées avec la FC4:
base ou
updates: la clé est le fichier texte /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora
extras: la clé est le fichier texte /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-extras
Pour les autres dépôts, elles doivent être téléchargées et implantées dans le système. Dans le cas de Livna (c'est exemple; le tutorial de MrTom indique comment procéder pour chacun des autres dépôts), le téléchargement s'opère comme suit:
* ouvrir une console;
* hériter des droits root:
$ su -
$ password: <saisir le mot de passe root>
* télécharger et implanter les clés (exemple pour Livna):
# rpm --import http://rpm.livna.org/RPM-LIVNA-GPG-KEY
Chaque dépôt est déclaré sous la forme d'un fichier dans le répertoire /etc/yum.repos.d.
Les déclarations, pour chacun des dépôts, indiquent:
a- si les signatures doivent être vérifiées pour les rpm de ce dépôt (clause
gpgcheck=1 => vérification; clause
gpgcheck=0 => pas de vérification);
b- l'endroit où la clé peut être trouvée pour une vérification éventuelle:
base et
updates:
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-fedora
extras:
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-extras
livna:
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-livna (il s'agit du fichier texte /etc/pki/rpm-gpg/RPM-GPG-KEY-livna qui a été implanté par la commande mentionnée précédemment).
Pour répondre directement au problème soulevé, il faut:
* soit télécharger les clés correspondant aux dépôts tiers (hors fedora, fedora-updates, fedora-extras qui sont implantés par défaut), ici,
Livna, qui propose les rpm recherchés;
* soit inhiber la vérification des signatures (
très déconseillé) pour les dépôts concernés.