O problema real que estou tentando resolver
Eu estou tentando configurar automaticamente as instalações do meu fedora via salt para ter automaticamente os repositórios do rpmfusion instalados. Para fazer isso com segurança, eu preciso da chave gpg para que os pacotes possam ser verificados antes de serem instalados. No entanto, não consigo encontrar uma maneira segura de baixar as chaves do rpmfusion.
Por exemplo, se eu estivesse fazendo um repo do Google Chrome, eu teria algo assim.
[google-chrome]
name=google-chrome
baseurl=http://dl.google.com/linux/chrome/rpm/stable/x86_64
enabled=1
gpgcheck=1
gpgkey=https://dl-ssl.google.com/linux/linux_signing_key.pub
No entanto, para rpmfusion, a coisa mais próxima que tenho é a seguinte (note que esta não foi testada):
[rpmfusion-nonfree]
name=RPM Fusion for Fedora $releasever - Nonfree
mirrorlist=http://mirrors.rpmfusion.org/mirrorlist?repo=nonfree-fedora-$releasever&arch=$basearch
enabled=1
metadata_expire=7d
gpgcheck=1
gpgkey=http://rpmfusion.org/keys?action=AttachFile&do=get&target=RPM-GPG-KEY-rpmfusion-nonfree-fedora-$releasever
No entanto, observe que estou fazendo o download por meio de um canal não criptografado (http em vez de https). Então, minha pergunta é a seguinte:
Existe uma maneira de baixar com segurança a chave pública do rpmfusion?