Estou recebendo essa saída de rpm -Kv em um dos meus pacotes experimentais:
clime@coprbox ~/v4tests $ rpm -Kv signed10.rpm
signed10.rpm:
Header V3 RSA/SHA1 Signature, key ID f67e1676: NOKEY
Header SHA1 digest: OK (6289e7d8d0a73be107945df48cefb762a5036eb1)
V3 RSA/SHA1 Signature, key ID f67e1676: BAD
MD5 digest: OK (3c8cafddad94a1e75adf52c59203cd3a)
Agora, há duas linhas que mencionam "assinatura":
Header V3 RSA/SHA1 Signature, key ID f67e1676: NOKEY
V3 RSA/SHA1 Signature, key ID f67e1676: BAD
Qual é o significado da primeira linha e qual é o significado da segunda?
De: link
The md5 message indicates that a checksum contained in the package file and calculated when the package was built, matches a checksum calculated by RPM during verification. Because the two checksums match, it is unlikely that the package has been modified.
Portanto, há uma assinatura, mas (no seu caso) dois digerir (somas de verificação).
O significado da primeira linha é que o gpg não é importado.
A segunda linha diz que a assinatura é inválida.
Descobri que na verdade existem duas assinaturas em qualquer arquivo rpm - uma assina apenas o cabeçalho e o segundo assina o cabeçalho + os dados da carga útil. Há também dois digests tho, como você diz - um é md5 no cabeçalho + payload e o segundo (sha1) está apenas no cabeçalho.