Alle Fedora pakketten zijn ondertekend met de Fedora GPG sleutel. GPG staat voor GNU Privacy Guard, of GnuPG, een vrij software pakket voor het verzekeren van authenticiteit van verspreide bestanden. Bijvoorbeeld, een privé sleutel (geheime sleutel) sluit het pakket af terwijl een publieke sleutel het pakket opent en verifieert. Als de publieke sleutel die door Fedora geleverd wordt tijdends de RPM verificatie niet past met de geheime sleutel, kan het pakket veranderd zijn en kan daarom niet vertrouwd worden.

Het RPM programma in Fedora probeert automatisch de GPG ondertekening van een RPM pakket te verifiëren voordat het geinstalleerd wordt. Als de Fedora GPG sleutel niet geinstalleerd is, doe dat dan van een veilige, statische locatie, zoals een Fedora installatie CD-ROM of DVD.

Aannemende dat de schijf zich bevindt in /mnt/cdrom, gebruik je het volgende commando om het te importeren in de sleutelring (een databse van vertrouwde sleutels op het systeem):

rpm --import /mnt/cdrom/RPM-GPG-KEY

Om een lijst te laten zien van alle sleutels die geinstalleerd zijn voor RPM verificatie, voer je het volgende commando uit:

rpm -qa gpg-pubkey*

De output zal op het volgende lijken:

gpg-pubkey-db42a60e-37ea5438

Om details van een specifieke sluetel te laten zien, voer je het rpm -qi commando uit gevolgd door de output van het vorige commando, zoals in dit voorbeeld:

rpm -qi gpg-pubkey-db42a60e-37ea5438

Het is uiterst belangrijk dat je de ondertekening van de RPM bestanden verifieert voor het installeren om er zeker van te zijn dat ze niet veranderd zijn ten opzichte van de originele bron van de pakketten. Om alle gedownloade pakketten tegelijk te verifiëren voer je het volgende commando uit:

rpm -K /tmp/updates/*.rpm

Het commando geeft voor ieder pakket gpg OK terug als de GPG sleutel met succes geverifieerd is. Als dat niet het geval is, wees er dan zeker van dat je de juiste Fedora publieke sleutel gebruikt en controleer ook de bron van de inhoud. Pakketten die niet voldoen aan de GPG verificatie moeten niet geinstalleerd worden, omdat ze door derden veranderd kunnen zijn.

Na het verifiëren van de GPG sleutel en het downloaden van alle pakketten die behoren bij het errata rapport, installeer je de pakketten als root op een shell prompt.