等价于使用` `rpm‘的’`rpm -K`‘

Question

什么是apt等效于rpm -K *.rpm，其中-K定义为在man rpm和最大RPM中验证存储库的签名？

一种情况的例子：

sudo rpm --import https://mirrors.example.com/rpm/RPM-GPG-KEY-release &&
rpm -K example.rpm

Answer 1

等价的是debsig-verify，它使用本地存储的密钥和策略来验证嵌入签名.deb套餐。

不幸的是，这在一般情况下并不有用，因为Debian包通常不是单独签名的；事实上，据我所知，Debian档案拒绝单独签名的上传。Debian将存储库作为一个整体进行签名，而不是单独的包，这意味着包可以在下载时进行验证，但不一定是在下载之后。(有关存储库身份验证的详细信息，请参阅如何保证Debian包的真实性？。) apt将使用其本地缓存的信息和本地存储的密钥，在安装它们之前对它们进行验证，但我认为没有办法要求它作为一个单独的任务来验证包。