<div dir="ltr">Hi Jeff, thanks for the detailed info. I have couple of questions, hopefully looking for your answer.<br><div><div class="gmail_extra"><br><div class="gmail_quote">2016-01-16 22:59 GMT+01:00 Jeff Johnson <span dir="ltr"><<a href="mailto:n3npq@mac.com" target="_blank">n3npq@mac.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><br><br><div>What remains to be done (in some order) is this:</div><div><br></div><div><span style="white-space:pre-wrap">    </span>1) confirm the non-repudiable signature exists by building a package and verifying</div><div><span style="white-space:pre-wrap">       </span>the signature (using "rpm -qvvp *.rpm" should be sufficient), and that the pubkey is</div><div><span style="white-space:pre-wrap">   </span>contained within every package.</div></div></blockquote><div><br><br></div><div>Which pubkey? OMA or rpmbuild's one ?<br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div><span style="white-space:pre-wrap">   </span>2) remove the check for "official" pubkey in urpmi.</div></div></blockquote><div><br></div><div>I do not understand one thing. How user can verify if rpm file which is signed with "one time generated" gpg key is trusted with that virtual-notary certificate ?<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div><span style="white-space:pre-wrap">        </span>3) create the manifest format to taste including additional identification like the non-repudiable pubkey id</div></div></blockquote><div><br></div><div>I do not understand what non-repudiable means :(<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div><span style="white-space:pre-wrap">   </span>4) register the manifest with <a href="http://virtual-notary.org" target="_blank">http://virtual-notary.org</a> and get the certificate. confirm that the certificate</div><div><span style="white-space:pre-wrap">   </span>is consistent with the document.</div></div></blockquote><div><br></div><div>What do you mean by manifest ? You mean to notarize a document ?<br><a href="http://virtual-notary.org/dispatch/document/input/">http://virtual-notary.org/dispatch/document/input/</a><br><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div><span style="white-space:pre-wrap">    </span>5) decide how to add the above steps to the mirroring process, and how to document the procedure.</div></div></blockquote><div><br></div><div>This is very unclear to me. Please elaborate on this more because i'd like to understand how that notary should work.<br><br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>Apologies for wordiness. Poke me on the irc meeting if you have questions.</div><div><br></div><div>hth</div><div><br></div><div>73 de Jeff</div><span class=""><div><br></div></span></div></blockquote></div><br></div></div></div>