<p>There is nothing stopping other applications from using detached signatures on *.rpm files as necessary. RPM cannot carry one (or multiple) signatures within signed plaintext.</p>
<p>(aside)<br>
In principle a different ping-pong like signing could be attempted to ensure that both signature/metadata headers are signed with different pairs of keys, with the pubkey(s) that signed the signature header in the metadata header and vice versa, but lets not go there please)</p>
<p>The core issue here seems to be hardlinking *.rpm files between different distributions, where the packages are identical except for the signature using different keys, and therefor hard linking is impossible.</p>
<p>Having multiple signatures only solves one part of the puzzle: making the *.rpm content static so that files can be hard linked by including multiple signatures.</p>
<p>The signing as well as the verification becomes far more complex because of the key management involved associating multiple keys and signatures where needed, particularly if RPM needs a policy file to specify which signature needs to be verified.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/rpm-software-management/rpm/issues/189#issuecomment-292839459">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ANb803KWu8G1XzyB3A1-tbWUeWUJfJljks5ruZ1EgaJpZM4MzQ-w">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ANb80we7wn8Z1bI4Gj4lsEAmRJ-lJiJWks5ruZ1EgaJpZM4MzQ-w.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/rpm-software-management/rpm/issues/189#issuecomment-292839459"></link>
  <meta itemprop="name" content="View Issue"></meta>
</div>
<meta itemprop="description" content="View this Issue on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/rpm-software-management/rpm","title":"rpm-software-management/rpm","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/rpm-software-management/rpm"}},"updates":{"snippets":[{"icon":"PERSON","message":"@n3npq in #189: There is nothing stopping other applications from using detached signatures on *.rpm files as necessary. RPM cannot carry one (or multiple) signatures within signed plaintext.\r\n\r\n(aside)\r\nIn principle a different ping-pong like signing could be attempted to ensure that both signature/metadata headers are signed with different pairs of keys, with the pubkey(s) that signed the signature header in the metadata header and vice versa, but lets not go there please)\r\n\r\nThe core issue here seems to be hardlinking *.rpm files between different distributions, where the packages are identical except for the signature using different keys, and therefor hard linking is impossible.\r\n\r\nHaving multiple signatures only solves one part of the puzzle: making the *.rpm content static so that files can be hard linked by including multiple signatures.\r\n\r\nThe signing as well as the verification becomes far more complex because of the key management involved associating multiple keys and signatures where needed, particularly if RPM needs a policy file to specify which signature needs to be verified."}],"action":{"name":"View Issue","url":"https://github.com/rpm-software-management/rpm/issues/189#issuecomment-292839459"}}}</script>