<div dir="auto"><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Apr 13, 2017 13:56, "Christian Rebischke" <<a href="mailto:Chris.Rebischke@archlinux.org">Chris.Rebischke@archlinux.org</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="quoted-text">On Thu, Apr 13, 2017 at 01:30:57PM -0700, William Roberts wrote:<br>
<br>
> That's not true, he's providing you a detached signature via this<br>
> mechanism. You just need to check the sha256sum before extraction.<br>
<br>
</div>The problem with providing only a SHA256 hash is that the hash was<br>
provide via an insecure channel. I can't be sure that the hash is really<br>
from him because he didn't even sign his mails. Someone could spoof his<br>
mail or MITM in the webserver with the tarballs, etc etc..<br></blockquote></div></div></div><div dir="auto"><br></div><div dir="auto">Isn't the hash on the https people's page? Which last time I looked wasnt throwing cert errors in chrome.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
The only secure way to ensure the original content of the tarball is via<br>
signed tarballs signed by the developer.<br>
<br>
Checksums and signed tarballs are totally two different things.<br>
<br>
<br>
</blockquote></div><br></div></div></div>