Использование gpg для подписания пакета RPM как части непрерывной сборки - как мне избежать запроса ключевой фразы?

У меня есть система сборки с непрерывной интеграцией, которая генерирует RPM через сценарий оболочки, запускаемый cron. Я хочу подписать RPM с помощью gpg, но gpg настаивает на том, чтобы пользователь вручную вводил парольную фразу на консоли, что явно не запускается, поскольку для cron нет пользовательской консоли.

Я читал о gpg-agent, который позволит вам ввести кодовую фразу один раз для текущего сеанса входа в систему, но опять же cron не имеет сеанса входа в систему. Я хотел бы иметь возможность настроить gpg-agent так, чтобы он принимал парольную фразу один раз во время загрузки и при необходимости передавал ее сеансу cron. Я понятия не имею, возможно ли это или нет, а документации для gpg-agent довольно мало.

Альтернативой было бы использовать ожидание ввода парольной фразы, когда gpg ее запрашивает, но очевидно, что это большая дыра в безопасности поскольку кодовую фразу нужно будет включить в сценарий сборки.