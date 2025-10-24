The OpenNET Project / Index page

В Fedora 44 в RPM намерены активировать проверку пакетов по цифровой подписи

24.10.2025 09:46

В выпуске Fedora Linux 44, намеченном на весну 2026 года, планируют включить по умолчанию проверку пакетов по цифровой подписи в RPM. Если план будет утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux, по умолчанию смогут быть установлены только пакеты с корректной цифровой подписью. При необходимости ручной установки пакетов предусмотрена возможность обхода проверки через явный запуск RPM с флагом "--nosignature" или отключение проверки через использование соответствующего API.

Функциональность для верификации пакетов по цифровой подписи была реализована в пакетном менеджере RPM 6.0, но в Fedora 43, несмотря на переход на RPM 6, на уровне RPM продолжает использоваться только проверка целостности по хэшам, а подлинность пакетов из репозиториев проверяется на уровне высокоуровневых пакетных менеджеров YUM и DNF, в которых возможность верификации по цифровым подписям была реализована изначально и включена по умолчанию. Теперь подобную проверку намерены задействовать на уровне RPM. В случае одобрения изменения в Fedora 44 при установке пакетов через RPM будет выполняться как проверка целостности по хэшу, так и проверка подлинности по цифровой подписи, заверенной ключом сборщика пакета.

При попытке установки пакетов без подписи или с некорректной подписью по умолчанию будет выводиться ошибка, если пользователь явно не запустил rpm с флагом "--nosignature". Для работы с внешними репозиториями, не формирующими цифровые подписи, в пакетный менеджер DNF 5.2.14.0 добавлена возможность выборочного отключения в RPM верификации в привязке к отдельным пакетам. Данная возможность задействована в инструментарии Mock (mock-core-configs) для работы с новыми сборками пакетов. В Mock также добавлен плагин для формирования подписей для локальной собираемых пакетов, а в сервисе Copr (Community projects) реализована возможность автоматического формирования подписей.

Дополнительно можно отметить утверждение даты выпуска Fedora 43, который состоится 28 октября.

  • 1.1, Аноним (1), 10:04, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –6 +/
    То есть я не смогу скачать с freshmeat сборку ffmpeg со включенной поддержкой mp3? И даже бесплатный fluendo для gstreamer не смогу установить? Только CodecBuddy за деньги?
     
     
  • 2.3, Аноним (3), 10:10, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +11 +/
    В первом же абзаце новости написано "При необходимости ручной установки пакетов предусмотрена возможность обхода проверки через явный запуск RPM с флагом "--nosignature"
     
     
  • 3.9, Аноним (9), 11:31, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > предусмотрена возможность

    Это пока предусмотрена. А потом - как в гугле будет, по паспорту. К этому идёт всё.

     
     
  • 4.13, Bob (??), 12:31, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Вот потом и приходи, а сейчас - прекращай бредить.
     
     
  • 5.16, AleksK (ok), 13:11, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Он не бредит. Все так и есть. Потом уберут возможность отключения. Придется писать свои костыли.
     
     
  • 6.20, Аноним (20), 14:19, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Прямо щас притупить? Всё равно ценник задирать.
     
  • 6.26, Admino (ok), 17:15, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А на орбите летает чайник.
     
  • 5.23, Аноним (23), 15:14, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Когда умрёте, тогда и приходите жаловаться?
     
  • 5.28, Аноним (-), 17:22, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вот потом и приходи, а сейчас - прекращай бредить.

    Ого сколько белок-истеричек на твой комент набежало.
    Но можешь не утруждаться с попытками их в чем-то убедить - шиза не лечится.

     
  • 2.6, Аноним (6), 10:31, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Пока проверку можно отключить, сможете что угодно установить. Когда через пару лет эту возможность уберут, можете начинать переживать.
     
  • 2.25, Admino (ok), 17:13, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Было: надо подключить сторонний репозиторий, добавить подпись в хранилище доверенных подписей, установить.

    Стало: надо скачать сторонний пакет, добавить подпись в хранилище доверенных подписей, установить.

    Негодяи, усложняют жизнь людям.

     

  • 1.2, Аноним (2), 10:08, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Для работы с внешними репозиториями, не формирующими цифровые подписи

    А есть ли проблема ключ добавить, или он в бинарь теперь захардкожен, а бинарь секурбутом и lockdownом защищён?

     
  • 1.4, Аноним (20), 10:14, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    А не было что ли? )
     
  • 1.5, Аноним (5), 10:26, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    А потом неотключаемый Secureboot, исключение опции --nosignature  и пользователя root. Ради безопасности конечно и для защиты детей.
     
     
  • 2.7, fggjdgj (?), 11:01, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Какое-то нытье и скулеж
     
     
  • 3.10, Wrt (?), 11:45, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому, что уже все поехали на этой мифической безопасности под предлогом которой формируют из пользователей стадо баранов за высоким забором.
     
     
  • 4.14, Bob (??), 12:32, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    не надо ничего формировать, стадо всегда было стадом

    изучаем "психология толпы", запасаемся попкорном с колой и наблюдаем

     
  • 4.15, Аноним (-), 13:04, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Воу-воу, как наезды.
    А контрольные суммы md5 для проверки когда придумали?
    А подписывние rpm пактов при помощи pgp?
    У шапки оно уже лет 5, а появилось гораздо раньше, лет 10-15 назад.

    Просто мир поменялся.
    И верить на слово людям в интернетах глупо.
    А принимать пакет от анона стало просто опасно.

     
  • 2.12, Аноним (12), 12:02, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    SecureBoot что в Федоре, что в Убунте работает вообще без всяких проблем.
     
     
  • 3.17, AleksK (ok), 13:13, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А теперь поставь в Ubuntu ядро от Xanmod.
     
     
  • 4.18, Аноним (18), 13:24, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    А почему именно Xanmod, а не от каких-то других обырганов?
    Неужели бубунтовцы должны поддерживать любые кривы поделки от подвальных какиров?
    Есть офф ядро, создатели дистрибутивов могут его патчить.
    Проблемы извращенцев их не должны волновать.
     
     
  • 5.19, AleksK (ok), 13:38, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > А почему именно Xanmod, а не от каких-то других обырганов?
    > Неужели бубунтовцы должны поддерживать любые кривы поделки от подвальных какиров?
    > Есть офф ядро, создатели дистрибутивов могут его патчить.
    > Проблемы извращенцев их не должны волновать.

    А аноним будет за меня решать какое ядро я буду использовать? Или почему производители железа хотят за меня решать что я могу использовать на их железе, а что не могу? Такими темпами PC превратится в Mac. Не успеешь обернуться начнутся регионлоки, запреты на установку неподписанного софта на уровне материнки, и т.д.

     
     
  • 6.22, Аноним (-), 14:28, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > А аноним будет за меня решать какое ядро я буду использовать?

    С чего ты сказал что я хочу за тебя что-то решать.
    Я указал что твои свободы  ̶м̶а̶х̶а̶т̶ь̶ ̶к̶у̶л̶а̶к̶а̶м̶и̶ ставить левые ядра, заканчиваются там где начинается сводоба авторов дистривутива вводить любые правила.

    > Или почему производители железа хотят за меня решать что я могу использовать на их железе, а что не могу?

    Потому что они производители, а ты просто потребитель.

    > Такими темпами PC превратится в Mac.

    Если ты про дестопный линукс, то он хоть станет похож на что-то, от чего не тянет блeвать.

    > Не успеешь обернуться начнутся регионлоки, запреты на установку неподписанного софта на уровне материнки, и т.д.

    Было бы неплохо.
    Возможно всякие помойки окажутся без халявного софта.
    Позиция СПОшников "нельзя запрещать пользоваться софтом никому, даже тоталитарным помойхам, да даже гитлеру!" порочна и делает их просто помошниками последних.

     
     
  • 7.27, pofigist (?), 17:20, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Да ты прав - ничего странного,купишь астру... Делов-то.🤣
     

