RPM 6 approda in Fedora 43
Fedora 43 si prepara a introdurre una delle modifiche più significative al suo sistema di gestione dei pacchetti: l’adozione di RPM 6. Questa nuova versione del gestore di pacchetti porta con sé importanti miglioramenti in termini di sicurezza, compatibilità e gestione delle chiavi, segnando un passo decisivo verso un’infrastruttura più moderna e robusta.
Una delle novità più rilevanti di RPM 6 è l’attivazione predefinita della verifica delle firme digitali. Questo significa che, a partire da Fedora 43, tutti i pacchetti dovranno essere firmati digitalmente per poter essere installati, aggiungendo un livello di protezione fondamentale contro manomissioni e attacchi alla supply chain. Per gli utenti che necessitano di installare pacchetti non firmati, è disponibile l’opzione --nosignature, ma l’obiettivo è promuovere pratiche più sicure, come l’importazione di chiavi fidate o l’uso della firma automatica durante la compilazione.
RPM 6 introduce un approccio più sicuro e moderno alla gestione delle chiavi OpenPGP. Le chiavi vengono ora identificate tramite l’intera impronta digitale o l’ID completo, riducendo il rischio di collisioni associato agli ID brevi utilizzati in precedenza. Inoltre, la nuova utility rpmkeys diventa lo strumento principale per la gestione delle chiavi, sostituendo metodi obsoleti come la manipolazione manuale dei pacchetti gpg-pubkey. Come alternativa moderna a GnuPG, è stato integrato Sequoia-sq, una toolchain scritta in Rust.
Con RPM 6, viene introdotto il supporto per pacchetti di dimensioni superiori a 4 GB, grazie all’adozione di campi di dimensione a 64 bit e a strutture interne modernizzate. Questo aggiornamento risolve limitazioni tecniche precedenti, particolarmente evidenti con pacchetti sorgente di grandi dimensioni come Chromium. Tuttavia, Fedora 43 continuerà a utilizzare il formato tradizionale RPM 4 basato su cpio, garantendo la compatibilità con l’ecosistema esistente, mentre RPM 6 sarà in grado di leggere e installare sia pacchetti in formato RPM 4 che nel nuovo formato, facilitando una transizione graduale per i manutentori e le distribuzioni derivate.
L’introduzione di RPM 6 segna anche l’abbandono di algoritmi crittografici considerati insicuri, come MD5, SHA1 e DSA, nonché del vecchio formato di pacchetti RPM 3. Questa mossa rappresenta un passo importante verso una struttura di pacchetti più sicura e allineata agli standard attuali.
RPM 6 sul sito ufficiale Fedora
