В выпуске Fedora Linux 44, намеченном на весну 2026 года, планируют включить по умолчанию проверку пакетов по цифровой подписи в RPM. Если план будет утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux, по умолчанию только пакеты с корректной цифровой подписью смогут быть установлены. При необходимости ручной установки пакетов предусмотрена возможность обхода проверки через явный запуск RPM с флагом «—nosignature» или отключение проверки через использование соответствующего API.

Функциональность для верификации пакетов по цифровой подписи была реализована в пакетном менеджере RPM 6.0, но в Fedora 43, несмотря на переход на RPM 6, на уровне RPM продолжает использоваться только проверка целостности по хэшам, а подлинность проверяется на уровне высокоуровневых пакетных менеджеров YUM и DNF, в которых возможность верификации по цифровым подписям была реализована изначально и включена по умолчанию. Теперь подобную проверку намерены задействовать на уровне RPM. В случае одобрения изменения в Fedora 44 при установке пакетов через RPM будет выполняться как проверка целостности по хэшу, так и проверка подлинности по цифровой подписи, заверенной ключом сборщика пакета.

При попытке установки пакетов без подписи или с некорректной подписью по умолчанию будет выводиться ошибка, если пользователь явно не запустил rpm с флагом «—nosignature». Для работы с внешними репозиториями, не формирующими цифровые подписи, в пакетный менеджер DNF 5.2.14.0 добавлена возможность выборочного отключения в RPM верификации в привязке к отдельным пакетам. Данная возможность задействована в инструментарии Mock (mock-core-configs) для работы с новыми сборками пакетов. В Mock также добавлен плагин для формирования подписей для локальной собираемых пакетов, а в сервисе Copr (Community projects) реализована возможность автоматического формирования подписей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=64107