Esse é um passo para quebrar o problema inicial de confiança de galinha e ovo pelo sistema de embalagem.
Não há confiança no sistema de empacotamento ( yum / rpm ) no novo repositório, pois, sendo novo, não é conhecido inicialmente. Então, o primeiro passo seria dizer ao sistema para (criptograficamente) confiar neste novo repositório. Isso é feito assinando pacotes (ou em sistemas diferentes, lançamentos de pacotes).
Alguns métodos fornecem uma chave gpg em uma página da Web ou servidor de chaves separado para adicionar à confiança do sistema (por exemplo: rpm --import (realmente rpmkeys --import ), ou um equivalente para apt / dpkg : apt-key add ) e configure o repositório com o arquivo correto que inclui principalmente a URL para download e algumas configurações (como o parâmetro ... gpgcheck=1 ).
Um outro método é colocar essa chave diretamente em um pacote e deixar que o pacote adicione as configurações de chave e repositório: isso é o que é feito aqui, o pacote rpmfusion-free-release-7.noarch.rpm tem dentro de alguns arquivos:
# rpm -qlp rpmfusion-free-release-7.noarch.rpm
warning: rpmfusion-free-release-7.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID f5cf6c1e: NOKEY
/etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-el-7
/etc/yum.repos.d/rpmfusion-free-updates-testing.repo
/etc/yum.repos.d/rpmfusion-free-updates.repo
Esses arquivos são a chave e as novas configurações de repositórios, e incluem gpgcheck=1 . Observe que, até que seja instalado, o sistema não confia no pacote (daí o aviso acima com NOKEY ). Uma vez instalada, a chave agora é confiável e cada ação adicional verificará as assinaturas de pacotes com essa chave adicionada.
Então, como pode ser confiável? Ainda existe a confiança fornecida pelo uso de https:// in https://download1.rpmfusion.org/ quando foi baixado: ele deve garantir que o site de download de propriedade da rpmfusion esteja no controle deste pacote e possa ser baixado com segurança sem ser adulterado.
Não é exatamente o mesmo tipo de confiança, porque apenas o site é confiável para ser o que alega, não o pacote. Como você está baixando o software do rpmfusion, isso significa que você está confiando neles o suficiente para baixar e instalar pacotes a partir deles. Este pacote nunca deve ser baixado na primeira vez fora de *.rpmfusion.org para inicialmente adicionar o repositório (ou seja, ao instalar com --nogpgcheck ), ou você agora teria que confiar no espelho para realmente fornecer o mesmo pacote e não outro com o mesmo nome com, por exemplo, chaves adicionais ou pior.
De qualquer forma, com o antigo método, você ainda tinha que ler instruções sobre como adicionar uma chave e fazer o download de um pacote de qualquer maneira, então você ainda tinha que confiar inicialmente nessas instruções. Isso é o que eu chamo de galinha e ovo: você tem que começar a confiar em algum lugar.
Uma vez que essa confiança inicial aconteceu, todo o resto é "cuidado" de forma segura. Mesmo que uma nova chave tenha que ser fornecida, isso será feito com uma atualização de rpmfusion-free-release com (a) chave (s) de substituição dentro, e ela permanecerá segura mesmo se baixada de um espelho e / ou sem https:// . Esse é realmente o caso deste repositório: ele está usando espelhos e provavelmente HTTP simples. Você não deve precisar novamente do --nogpgcheck .