<br><br><div class="gmail_quote">On Tue, Jun 16, 2009 at 5:17 PM, Todd Zullinger <span dir="ltr"><<a href="mailto:tmz@pobox.com">tmz@pobox.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">Aldo Foot wrote:<br>
> The filename "Fedora-11-i386-CHECKSUM" is arbitrary. You can call it<br>
> anything you want as long as it has the contents of the GPG key<br>
> provided by the distro[1], just click on the checksum link and copy<br>
> its contents to a text file.<br>
><br>
> [1] <a href="http://mirrors.kernel.org/fedora/releases/11/Fedora/i386/iso/" target="_blank">http://mirrors.kernel.org/fedora/releases/11/Fedora/i386/iso/</a><br>
<br>
</div>At the risk of causing more confusion, I don't think that's correct.<br>
The contents of the GPG key are _not_ included in the *CHECKSUM files.<br>
The contents are the sha256sum hashes of the files in release, and<br>
they are signed with gpg so that you can first verify that the<br>
CHECKSUM file came from the Fedora Project and then feel confident<br>
using the file to verify the checksums of the .iso files.</blockquote><div><br>Is there a sha256sum for the GPG signature of the sha256sum of the files???<br><br>Sorry, couldnīt resist. ;<VBG><br><br>FC<br></div></div>
<br>