[packman] Signatur Paket kdetv-0.8.5.cvs20050216-0.pm.0.i586.rpm

[Herbert Graeber]

On Sunday 06 March 2005 10:36, Matthias Kindtner wrote:
> Hallo Packman Team,
>
> habe mir von Eurer Seite
>
> http://packman.links2linux.de/index.php4?action=cat&cat=1
>
> das Paket kdetv-0.8.5.cvs20050216-0.pm.0.i586.rpm heruntergeladen.
>
> Ebenso die .asc Datei und die public-keys.asc (importiert in
> Schluesselbund)
>
> Wenn ich jetzt eingebe:
> gpg --verify kdetv-0.8.5.cvs20050216-0.pm.0.i586.rpm.asc
> gpg: Unterschrift vom So 20 Feb 2005 21:35:54 CET, DSA Schlüssel ID
> DCB8FAFE gpg: Unterschrift kann nicht geprüft werden: Öffentlicher
> Schlüssel nicht gefunden
>
> rpm --checksig --verbose kdetv-0.8.5.cvs20050216-0.pm.0.i586.rpm
> kdetv-0.8.5.cvs20050216-0.pm.0.i586.rpm:
>     Header V3 DSA signature: NOKEY, key ID 1be4d89e
>     Header SHA1 digest: OK
> (e5b4afd59d9c0d36d8e386158a74d5c957538ec7) MD5 digest: OK
> (8a45a65cc9dca85c8c109a6e17ff751e)
>     V3 DSA signature: NOKEY, key ID 1be4d89e
>
> gpg --list-keys 1be4d89e
> pub  1024D/1BE4D89E 2003-05-20 Herbert Graeber
> <herbert at links2linux.de> sub  1024g/49B40391 2003-05-20
>
> gpg --list-keys DCB8FAFE
> gpg: error reading key: Öffentlicher Schlüssel nicht gefunden
>
> Was mache ich falsch?
> Wie kommt es zu dieser Differenz der zwei verschiedenen Schluessel?

Du machst nichts falsch. Das Verifizieren mit rpm (siehe FAQ) 
funktioniert korrekt. Leider hat gpg beim Erstellen der asc-Dateien 
nicht meinen packman-Schlüssel zum Signieren benutzt, sondern meinen 
Default-key. Jeder der außer meinen Packman-Key auch meinen 
Default-Key im Keyring hat hat kein Problem mit dem Verifizieren per 
gpg, insbesondere auch ich selbst. Deshalb ist es mir nie 
aufgefallen.

Bei zukünftigen Pakete werde ich es besser machen. Wenn ich eine 
einfachen Weg finde werde ich die Signaturen, die schon draußen sind 
gegen korrigierte Versionen austauschen. Allerding hatten wir schon 
vor einiger Zeit eine Diskussion, ob wir die externen Signaturen 
nicht ganz fallen lassen...

Gruss
Herbert