sslug-teknik team mailing list archive

[Keld Jørn Simonsen <keld@xxxxxxxx>]

Den Sat, 23 Jul 2005 09:53:14 +0000. skrev Jesper Krogh:

 
>> > Hvor du hente nøglerne fra er ikke interessant, det er interesant at du
>> > verificeret at de ikke er forfalskede. 
>> 
>>  Joh, men hvordan gør man det, på en sikker måde?
>>  Kilden, som du verificerer mod, skal være sikker.
> 
> I den ideelle verden ja. Men hvis jeg via google kan finde en side uden
> relation til den jeg har hentet pakken fra og se at det er samme nøgle,
> så har jeg 2 uafhængige kilder. Det er ikke umuligt at forfalske noget,
> men problemet er større end jeg tror er muligt hvis det er tilfældet.
> Deraf konkluderer jeg at det er "godt nok". 
>  
>>  jeg tror der er en del pakker der er underskrevet med en anden nøgle end
>>  Mandrivas. Og så er der en del pakker der slet ikke er underskrevet.
> 
> Det er sjusk fra deres side så.

Det er kun i contrib, så det er ikke deres egne pakker, kunne man sige.
Men, ja, jeg forstår ikke at de ikke lige går dem igennem.

Anyway hvor skulle man finde disse signaturer?

Måske skulle man fejlmelde det til Mandriva.