W jaki sposób rpm weryfikuje podpisy pakietów?

[Adam Osuchowski]

Paweł A. Gajda wrote:
> Da się to dostostosować - pytanie czy się nie narobię na próżno? Jeżeli
> zrobię port, to przejście na rpm.org już będzie bezbolesne/wykonalne/etc?

Ja z kolei siadłem nad tym, żeby dorobić do rpm5 porządną weryfikację
podpisów paczek bazując częściowo na rpm4, bo jak zajrzałem w kod to się
za głowę złapałem -- tam praktycznie nie ma żadnej sensownej weryfikacji
podpisów więc bezpieczeństwo aktualnych paczek to jest teraz jedna wielka
partyzantka o praktycznie zerowym poziomie wiarygodności.

Nie wiem co jest obecnie bardziej sensowne i mniej pracochłonne: cofnąć
się do rpm4 czy jednak poprawić to crypto w rpm5. Mimo wszystko wg mnie
chyba lepiej poprawić rpm5. Jak coś z tym wykombinuję to dam znać.