Re: Chiavi gpg mancanti per i sorgenti dei pacchetti

[Davide Prina <davide.prina@gmail.com>]

Giuseppe Sacco wrote:
> On Tue, Oct 30, 2007 at 08:45:56PM +0100, Davide Prina wrote:

> > Probabilmente prendere le chiavi pubbliche di tutti i DD è un po' 
> > esagerato, ma esiste un metodo per poter essere sicuri che il pacchetto 
> > è stato firmato da un DD?
>
> Non è esagerato, ed è anche comodo:
>
> apt-get install debian-keyring

$ apt-cache show debian-keyring
[...]
Description: GnuPG (and obsolete PGP) keys of Debian Developers
[...]

$ dpkg -l | grep keyring
ii  debian-archive-keyring
ii  debian-edu-archive-keyring
ii  debian-keyring

Forse non ho capito bene io come funzionano le cose, ma ho installato 
tutti i pacchetti disponibili per le chiavi dei DD.

Quello che non capisco è: per i pacchetti binari non ho nessuna 
segnalazione, mentre per i pacchetti sorgenti per molti ho la 
segnalazione di mancanza della chiave pubblica.

Se provi ad eseguire:
$ cd /tmp
$ apt-get source tcl8.4

non ti mostra nessun errore?

Se invece scarico/installo il binario non ho nessun errore.

Se eseguo:
# gpg --list-public-keys

vedo che le chiavi:
secure-testing Archive Key 2005-7
Debian Archive Automatic Signing Key (4.0/etch)
PAUSE Batch Signing Key 2007
PAUSE Batch Signing Key 2003
PAUSE Batch Signing Key 2005

più quelle di due DD che ho caricato io nei giorni scorsi

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione contro il formato ms-ooxml:
http://www.noooxml.org/petition
Non autorizzo la memorizzazione del mio indirizzo su outlook