Co to znaczy?
Paweł A. Gajda
mis w pld.org.pl
Wto, 11 Cze 2002, 11:24:11 CEST
wtorek 11/06/2002 10:47:40, Jacek Konieczny:
> On Tue, Jun 11, 2002 at 10:26:02AM +0200, Paweł A. Gajda wrote:
> > wtorek 11/06/2002 8:33:58, Jacek Konieczny:
> > [...]
> > >
> > > Inna sprawa, że to sprawdzanie jest do d...y, bo rpm (albo poldek, bo w
> > > poldku to sprawdzałem) nie sprawdza, czy klucz, jeśli jest, jest
> > > zaufany, tzn. podpisany przez użytkownika.
> >
> > RPM przy sprawdzaniu podpisu woła %{__gpg_verify_cmd}, poldek używa
> > tu tylko API rpmliba.
>
> No to ten RPM jest zwalony i najwyraźniej olewa warningi gpg. :-(
> Gdyby chociaż możnabyło mu podać keyring którego ma używać,
> albo fingerprinty zaufanych kluczy. Bo tak, to te sprawdzanie jest warte
> tyle co nic.
Aż tak źle nie jest, domyślne __gpg_verify_cmd:
gpg --batch --no-verbose --verify \
%{__signature_filename} %{__plaintext_filename}
Nic nie stoi na przeszkodzie by dodać tam:
--no-default-keyring --keyring <RING>
Powinno nawet zadziałać przedefiniowanie tego w poldek.conf.
Więcej informacji o liście dyskusyjnej pld-devel-pl