我正在尝试安装Apache Lucene 5.3.0(从源代码)。镜像站点提供lucene-5.3.0-src.tgz和lucene-5.3.0-src.tgz.asc(签名文件),但后者使用的RSA密钥ID 3FCFDB3E不包含在KEYS文件(也提供)中。
$ gpg --verify ./lucene-5.3.0-src.tgz.asc
gpg: assuming signed data in `./lucene-5.3.0-src.tgz'
gpg: Signature made 2015-08-17T13:35:34 CEST using RSA key ID 3FCFDB3E
gpg: Can't check signature: public key not found
这个问题似乎影响了多个站点。指纹应该是什么?为什么密钥不包含在KEYS文件中?
看来Paul Noble的钥匙就是你要找的,有指纹
CFCE 5FBB 920C 3C74 5CEE E084 C38F F5EC 3FCF DB3E
密钥是相当新的(几个星期前)。
你不能真正确定他是否被允许为Apache Lucene发布,也不能确定密钥实际上属于他。
一个简短的Google调查至少表明了对自由软件和Linux内核的一些贡献,但没有进一步的分析,这不应该被认为是值得信赖的。也没有传入的证书可以用来通过信任网络验证密钥。
我建议与Apache取得联系,可能在Lucene邮件列表中,并询问开发人员如何基于什么信任假设来验证发布。并指出有什么地方不对,他们应该改变。
关于lucene项目的KEYS文件"发布"的策略有点令人困惑,使用id.apache.org -> people.apache.org,并且它根据每个项目委员会当前的密钥自动生成KEYS文件。这里有一些背景故事…
https://issues.apache.org/jira/browse/lucene - 5143当前的策略是,每个新的Lucene/Solr版本都会发布当前所有键的快照,所以对于5.3.0来说,它将在这里…
https://www.apache.org/dist/lucene/java/5.3.0/KEYS…但是旧的"非版本特定"密钥文件仍然可用-特别是用于验证可能早于当前策略的存档中的旧版本软件。
您可以使用http://people.apache.org/keys/查看给定apache项目/用户的所有"活动"键列表
http://people.apache.org/keys/group/lucene.asc