<div dir="auto"><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Apr 13, 2017 13:28, "Christian Rebischke" <<a href="mailto:Chris.Rebischke@archlinux.org">Chris.Rebischke@archlinux.org</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="quoted-text">On Tue, Apr 11, 2017 at 10:03:54AM -0400, Steve Grubb wrote:<br>
> I added a sha256sum to the release announcement yesterday. You can also access<br>
> the people page via https.<br>
><br>
<br>
</div>Thanks, but as I stated before. SHA256 and https doesn't ensure a<br>
non-malicious tarball. Only a signed tarball can achieve this.<br></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">That's not true, he's providing you a detached signature via this mechanism. You just need to check the sha256sum before extraction.</div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
<br>
<br>--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/linux-audit</a><br></blockquote></div><br></div></div></div>