GPG密钥用于验证RPM包的完整性和来源可信性，通过rpm --import命令导入公钥至系统密钥环，建议存放于/etc/pki/rpm-gpg/目录，可使用rpm -q gpg-pubkey查看已导入密钥，确保密钥来源可靠且为ASCII格式，避免安全风险。

在Linux系统中，特别是在使用RPM包管理器（如RHEL、CentOS、Fedora）时，导入GPG密钥是确保软件包来源可信的重要步骤。系统通过GPG签名验证RPM包的完整性与发布者身份，防止安装被篡改或伪造的软件包。

什么是GPG密钥与RPM签名验证

RPM包可以使用GPG（GNU Privacy Guard）密钥进行数字签名。当系统安装RPM包时，会检查包的签名是否来自受信任的密钥。如果密钥未导入，系统会报错，例如“GPG签名验证失败”或“NOKEY”。因此，需要提前导入对应的GPG公钥。

使用rpm --import导入GPG密钥

最常用的方法是使用rpm --import命令导入GPG公钥文件。该命令将密钥添加到系统的RPM密钥环中。

基本语法：

常见操作示例：

• 导入本地密钥文件：
  sudo rpm --import /tmp/RPM-GPG-KEY-epel
• 从网络直接导入（需先下载）：
  curl -o /etc/pki/rpm-gpg/RPM-GPG-KEY-custom https://example.com/RPM-GPG-KEY
  sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-custom

密钥文件存放位置与命名规范

通常，GPG密钥文件建议存放在/etc/pki/rpm-gpg/目录下，这是RPM和YUM/DNF默认查找密钥的位置。虽然不是强制要求，但遵循此规范有助于统一管理。

例如，Fedora官方密钥通常位于：

查看已导入的GPG密钥

可以使用以下命令列出当前系统中已导入的所有GPG密钥：

输出示例如下：

若想查看某个密钥的详细信息，可结合grep或使用：

常见问题与注意事项

导入密钥时需注意以下几点：

• 确保密钥来源可信，避免导入恶意密钥。
• 密钥文件必须是ASCII格式（通常以-----BEGIN PGP PUBLIC KEY BLOCK-----开头）。
• 如果使用yum或dnf，它们在安装第三方仓库时可能自动提示导入密钥，也可手动禁用检查（不推荐）：
  dnf install pkg.rpm --nogpgcheck

基本上就这些。只要正确导入GPG密钥，RPM包的安装和验证就能顺利进行，保障系统的安全与稳定。