Désolé, j'ai écrit ce texte pour les groupes anglos et je n'ai pas le
goût de traduire. S'il y a un volontaire, pas de problème.
GP
-------------
Recently, I discoved I couldn't have swaret to check gpg signatures.
So, I wrote on the swaret forum to see what kind of help I could get.
Here's the discussion with a moderator and, then, with the administrator:
Whole thread available at:
http://swaret.sourceforge.net/index.php?name=PNphpBB2&file=viewtopic&t=69
-----------------------------------
Posted: Sep 21, 2004 - 02:19 PM
I use swaret 1.6.2-1 and tried to get swaret to check the gpg signature.
"swaret --gpg -i" either on a CD or a mirror retourned "DONE", no
problem.
But when I try to update, I get "CORRUPTED" on all files. Anything I'm
missing?
Otherwise, swaret is great... and, for once, the documentation has
been written by somebody with some writing capabilities.
Mr Cottyn contributed more to Slackware than anybody else. Many people
have adopted Slackware because of him and I, for one, would certainly
have moved to another distro if it hadn't been for swaret.
When the /feud/ began, his project was to make Slackware even more
powerful by offering network upgrades.
It's been a long time since we've heard from him and I'm truly worried.
Gilles Pelletier
La Masse Critique
http://www.enter-net.com/~gpelleti
-----------------------------
The moderator, a certain lennard, suggested that I download the key,
then import it with the command:
swaret --gpg -i gpg-key
I did comply but I couldn't figure what difference it would make
since, as I explained in my message, I had no problem importing the
key directly. And, indeed, I still got the same error message afterwards.
lennard then answered:
"Try to remove your /var/swaret directory. (in case of some
caching-thingies and all)
After that update your Swaret, (and update the GPG-KEY again, as
described before) and try an upgrade."
-------------------------
Getting frustrated by this nonsense, I answered:
"Thanks for your "caching-thingies" suggestion, but I don't remember
Cottyn playing caching-thingies.
Just as the preceding, this advice is no advice."
-------------------------
The LinuxSneaker, the administrator, then moved in:
"I think what he was trying to say was in case there was some stale
lock files, but I don't think that would effect the gpg and md5
situation.
I am rewriting the download function, and I will have these assumptions:
md5 is used to check completeness
gpg is used to check security
------------------------------
"md5 is used to check completeness" ??? What the hell is this? Of
course, if a file is incomplete, the md5sum, won't check OK.
But what's all this "assumptions" mumbo-jumbo about? No assumptions
are needed. You plainly need to have md5sum check md5sum and gpg check
signatures. That's it, that's all.
As surely as one and one is two, this kind of nonsense indicates that
Luc Cottyn is not around. The people who are now running the site
are exactly the kind that apparently first got Cottyn infuriated. I
certainly wouldn't be caught dead downloading anything from
swaret.sourceforge.net at the present time, not even from sourceforge,
for that matter.
Sourceforge, where a lot of noise was made around nullities such as
slapt-get, is apparently satisfied with this new state of affairs.
They're glad they got rid of Cottyn, the guy who was apparently so
stupid as to insult people all over the place without even attempting
to hide his IP address.
Patrick Volkerding removed swaret from Slackware 10 without a shade of
a comment. The rumor was Luc Cottyn was labeled "irresponsible". An
"irresponsible" had produced an upgrade tool eons ahead of PV's own
pkgtool.
Just as if I hadn't noticed anything wrong in LinuxSneaker's answer, I
asked one again about Cottyn:
"Thank you for your answer, LinuxSneaker.
As you've noticed, my question was twofold. The second part was
concerning Luc Cottyn.
Is he still participating to the project? Where can he be reached?
What about his project concerning network upgrades?"
-------------------------
I posted my question on Sept. 28 in the morning. As of Oct 2nd, 23h, I
got no answer. Who is Cottyn, where is Cottyn, this guy who was about
to provide Slackware with a network upgrade tool when the /feud/
began, nobody knows, nobody worries. Cottyn was an irresponsible.
Ah bon? pourtant j'ai remarque que ce genre de probleme est recurrent avec gpg et se manifeste dans les librairies perl qui utilisent avec gpg, etc. De ce que j'en ai compris gpg est quasi impossible a scripter et comme il n'y a pas de librairie gpg officielle pour une raison mysterieuse, c'est la poisse.
Ben moi, ce que je vois, c'est que gpg --verify se termine avec un code 0 si la signature est bonne, un code 1 si la signature est mauvaise, et un code 2 si la signature n'a pas pu être vérifiée,
Effectivement, si, après l'exécution de la commande, tu fais echo $?, tu obtiens l'exit status, ce qui me semble résoudre le problème.
et que quand on a besoin d'une sortie machine-readable, il y a l'option --with-colons prévu pour.
Là, par contre, je suis moins bien. Le man de gpg dit:
--with-colons Print key listings delimited by colons.
Or, ici , il n'est pas question de lister les clés.
GP
Nicolas George wrote:
Emmanuel Florac , dans le message
Ah bon? pourtant j'ai remarque que ce genre de probleme est recurrent avec
gpg et se manifeste dans les librairies perl qui utilisent avec gpg, etc.
De ce que j'en ai compris gpg est quasi impossible a scripter et comme il
n'y a pas de librairie gpg officielle pour une raison mysterieuse, c'est
la poisse.
Ben moi, ce que je vois, c'est que gpg --verify se termine avec un code 0 si
la signature est bonne, un code 1 si la signature est mauvaise, et un code 2
si la signature n'a pas pu être vérifiée,
Effectivement, si, après l'exécution de la commande, tu fais echo $?,
tu obtiens l'exit status, ce qui me semble résoudre le problème.
et que quand on a besoin d'une
sortie machine-readable, il y a l'option --with-colons prévu pour.
Là, par contre, je suis moins bien. Le man de gpg dit:
--with-colons Print key listings delimited by colons.
Or, ici , il n'est pas question de lister les clés.
Ah bon? pourtant j'ai remarque que ce genre de probleme est recurrent avec gpg et se manifeste dans les librairies perl qui utilisent avec gpg, etc. De ce que j'en ai compris gpg est quasi impossible a scripter et comme il n'y a pas de librairie gpg officielle pour une raison mysterieuse, c'est la poisse.
Ben moi, ce que je vois, c'est que gpg --verify se termine avec un code 0 si la signature est bonne, un code 1 si la signature est mauvaise, et un code 2 si la signature n'a pas pu être vérifiée,
Effectivement, si, après l'exécution de la commande, tu fais echo $?, tu obtiens l'exit status, ce qui me semble résoudre le problème.
et que quand on a besoin d'une sortie machine-readable, il y a l'option --with-colons prévu pour.
Là, par contre, je suis moins bien. Le man de gpg dit:
--with-colons Print key listings delimited by colons.
Or, ici , il n'est pas question de lister les clés.
GP
Patrice Karatchentzeff
Emmanuel Florac writes:
Le Wed, 06 Oct 2004 00:43:48 +0000, Pablo Saratxaga a écrit :
L'astuce consiste donc en ne pas prendre la chaîne "xxxxxx" en dur, mais à prendre "`gettext -d gnupg -s 'xxxxxx'`" à la place, c'est à dire à prendre la traduction de 'xxxxxx' utilisée par gpg.
Le Wed, 06 Oct 2004 00:43:48 +0000, Pablo Saratxaga a écrit :
L'astuce consiste donc en ne pas prendre la chaîne "xxxxxx" en dur, mais
à prendre "`gettext -d gnupg -s 'xxxxxx'`" à la place, c'est à dire à
prendre la traduction de 'xxxxxx' utilisée par gpg.
Le Wed, 06 Oct 2004 00:43:48 +0000, Pablo Saratxaga a écrit :
L'astuce consiste donc en ne pas prendre la chaîne "xxxxxx" en dur, mais à prendre "`gettext -d gnupg -s 'xxxxxx'`" à la place, c'est à dire à prendre la traduction de 'xxxxxx' utilisée par gpg.
Le Wed, 06 Oct 2004 21:32:57 +0200, Patrice Karatchentzeff a écrit :
Un truc pour les véritables ;-)
Sans blague, tu ne connais vraiment pas ?
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là, mais l'explication de Pablo me dépasse. En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
-- Mais monsieur, voudriez-vous que je me l'écorchasse? Barbey d'Aurevilly.
Le Wed, 06 Oct 2004 21:32:57 +0200, Patrice Karatchentzeff a écrit :
Un truc pour les véritables ;-)
Sans blague, tu ne connais vraiment pas ?
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là,
mais l'explication de Pablo me dépasse. En gros gettext me permettrait
à partir de la sortie en français de gpg, de retrouver le message en
anglais? Comprends rien.
--
Mais monsieur, voudriez-vous que je me l'écorchasse?
Barbey d'Aurevilly.
Le Wed, 06 Oct 2004 21:32:57 +0200, Patrice Karatchentzeff a écrit :
Un truc pour les véritables ;-)
Sans blague, tu ne connais vraiment pas ?
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là, mais l'explication de Pablo me dépasse. En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
-- Mais monsieur, voudriez-vous que je me l'écorchasse? Barbey d'Aurevilly.
Jérémy JUST
On Wed, 06 Oct 2004 00:52:44 -0400 GP wrote:
Ça ne te fais rien que je ne te réponde pas? Good! Je sens que nous sommes faits pour nous entendre.
Non, mais mes deux derniers paragraphes se voulaient des suggestions plausibles.
-- Jérémy JUST
On Wed, 06 Oct 2004 00:52:44 -0400
GP <gilpel@inverse.nretla.org> wrote:
Ça ne te fais rien que je ne te réponde pas? Good! Je sens que nous
sommes faits pour nous entendre.
Non, mais mes deux derniers paragraphes se voulaient des suggestions
plausibles.
Ça ne te fais rien que je ne te réponde pas? Good! Je sens que nous sommes faits pour nous entendre.
Non, mais mes deux derniers paragraphes se voulaient des suggestions plausibles.
-- Jérémy JUST
Sam Hocevar
On Wed, 06 Oct 2004 22:16:20 +0200, Emmanuel Florac wrote:
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là, mais l'explication de Pablo me dépasse. En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
Non, à partir du message anglais, retrouver le message dans la langue qu'on utilise. Ce qui revient plus ou moins au même, en fait.
-- Sam.
On Wed, 06 Oct 2004 22:16:20 +0200, Emmanuel Florac wrote:
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là,
mais l'explication de Pablo me dépasse. En gros gettext me permettrait
à partir de la sortie en français de gpg, de retrouver le message en
anglais? Comprends rien.
Non, à partir du message anglais, retrouver le message dans la langue
qu'on utilise. Ce qui revient plus ou moins au même, en fait.
On Wed, 06 Oct 2004 22:16:20 +0200, Emmanuel Florac wrote:
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là, mais l'explication de Pablo me dépasse. En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
Non, à partir du message anglais, retrouver le message dans la langue qu'on utilise. Ce qui revient plus ou moins au même, en fait.
-- Sam.
GP
Emmanuel Florac wrote:
Un truc pour les véritables ;-)
Sans blague, tu ne connais vraiment pas ?
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là, mais l'explication de Pablo me dépasse. En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
En gros, en gros, Dieu me garde d'encenser George-les-Lapins sans raison, mais je pense qu'il a raison: il suffit de vérifier l'exit status. J'ai essayé, et ça fonctionne nickel.
Enfin, je ne suis pas expert. C'est peut-être plus compliqué. Il y a un cas ici:
Mais, comme les signatures des fichiers Slackware ne sont pas dans le fichiers lui-même, la commande est:
gpg --verify *.asc
et ce problème particulier ne s'applique pas. Il y en a peut-être d'autres?
GP
Emmanuel Florac wrote:
Un truc pour les véritables ;-)
Sans blague, tu ne connais vraiment pas ?
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là,
mais l'explication de Pablo me dépasse. En gros gettext me permettrait
à partir de la sortie en français de gpg, de retrouver le message en
anglais? Comprends rien.
En gros, en gros, Dieu me garde d'encenser George-les-Lapins sans
raison, mais je pense qu'il a raison: il suffit de vérifier l'exit
status. J'ai essayé, et ça fonctionne nickel.
Enfin, je ne suis pas expert. C'est peut-être plus compliqué. Il y a
un cas ici:
Ben non, j'en ai pas l'usage. J'en ai vaguement entendu parler ici et là, mais l'explication de Pablo me dépasse. En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
En gros, en gros, Dieu me garde d'encenser George-les-Lapins sans raison, mais je pense qu'il a raison: il suffit de vérifier l'exit status. J'ai essayé, et ça fonctionne nickel.
Enfin, je ne suis pas expert. C'est peut-être plus compliqué. Il y a un cas ici:
Mais, comme les signatures des fichiers Slackware ne sont pas dans le fichiers lui-même, la commande est:
gpg --verify *.asc
et ce problème particulier ne s'applique pas. Il y en a peut-être d'autres?
GP
Jérémy JUST
On Wed, 06 Oct 2004 22:16:20 +0200 Emmanuel Florac wrote:
En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
Initialement, c'est pour faire l'exact contraire: le code-source du programme ne parle qu'anglais, mais gettext va chercher la traduction de chacun des messages dans des fichier *.mo, d'après la variable LC_MESSAGES, au moment d'afficher.
Donc pour comprendre ce que dit GPG, il suffit d'utiliser gettext comme lui le fait, pour attendre les bons messages.
Sinon, question naïve (je ne connais rien au fonctionnement de ces trucs), est-ce que GPGME n'est pas une API autour de GPG pour l'utiliser facilement depuis des programmes?
-- Jérémy JUST
On Wed, 06 Oct 2004 22:16:20 +0200
Emmanuel Florac <eflorac@imaginet.fr> wrote:
En gros gettext me permettrait à partir de la sortie en français de
gpg, de retrouver le message en anglais? Comprends rien.
Initialement, c'est pour faire l'exact contraire: le code-source du
programme ne parle qu'anglais, mais gettext va chercher la traduction de
chacun des messages dans des fichier *.mo, d'après la variable
LC_MESSAGES, au moment d'afficher.
Donc pour comprendre ce que dit GPG, il suffit d'utiliser gettext
comme lui le fait, pour attendre les bons messages.
Sinon, question naïve (je ne connais rien au fonctionnement de ces
trucs), est-ce que GPGME n'est pas une API autour de GPG pour l'utiliser
facilement depuis des programmes?
On Wed, 06 Oct 2004 22:16:20 +0200 Emmanuel Florac wrote:
En gros gettext me permettrait à partir de la sortie en français de gpg, de retrouver le message en anglais? Comprends rien.
Initialement, c'est pour faire l'exact contraire: le code-source du programme ne parle qu'anglais, mais gettext va chercher la traduction de chacun des messages dans des fichier *.mo, d'après la variable LC_MESSAGES, au moment d'afficher.
Donc pour comprendre ce que dit GPG, il suffit d'utiliser gettext comme lui le fait, pour attendre les bons messages.
Sinon, question naïve (je ne connais rien au fonctionnement de ces trucs), est-ce que GPGME n'est pas une API autour de GPG pour l'utiliser facilement depuis des programmes?
-- Jérémy JUST
Emmanuel Florac
Le Wed, 06 Oct 2004 22:35:46 +0200, Sam Hocevar a écrit :
Non, à partir du message anglais, retrouver le message dans la langue qu'on utilise. Ce qui revient plus ou moins au même, en fait.
Oui mais dans le cas qui nous occupe, ce dont on a besoin c'est plutôt du message en anglais, de totue façon c'est swaret qui récupère le message, l'utilisateur ne le voit même pas.
-- A travers l'audimat, c'est la logique du commercial qui s'impose aux productions culturelles. Or, il est important de savoir que, historiquement, toutes les productions culturelles que je considère, - et je ne suis pas le seul, j'espère -, qu'un certain nombre de gens considèrent comme les productions les plus hautes de l'humanité, les mathématiques, la poésie, la littérature, la philosophie, toutes ces choses ont été produites contre l'équivalent de l'audimat, contre la logique du commerce. Pierre Bourdieu, "Sur la télévision". Raison d'Agir Editions, décembre 1996
Le Wed, 06 Oct 2004 22:35:46 +0200, Sam Hocevar a écrit :
Non, à partir du message anglais, retrouver le message dans la langue
qu'on utilise. Ce qui revient plus ou moins au même, en fait.
Oui mais dans le cas qui nous occupe, ce dont on a besoin c'est plutôt du
message en anglais, de totue façon c'est swaret qui récupère le
message, l'utilisateur ne le voit même pas.
--
A travers l'audimat, c'est la logique du commercial qui s'impose aux
productions culturelles. Or, il est important de savoir que,
historiquement, toutes les productions culturelles que je considère, -
et je ne suis pas le seul, j'espère -, qu'un certain nombre de gens
considèrent comme les productions les plus hautes de l'humanité, les
mathématiques, la poésie, la littérature, la philosophie, toutes ces
choses ont été produites contre l'équivalent de l'audimat, contre la
logique du commerce.
Pierre Bourdieu, "Sur la télévision". Raison d'Agir Editions, décembre
1996
Le Wed, 06 Oct 2004 22:35:46 +0200, Sam Hocevar a écrit :
Non, à partir du message anglais, retrouver le message dans la langue qu'on utilise. Ce qui revient plus ou moins au même, en fait.
Oui mais dans le cas qui nous occupe, ce dont on a besoin c'est plutôt du message en anglais, de totue façon c'est swaret qui récupère le message, l'utilisateur ne le voit même pas.
-- A travers l'audimat, c'est la logique du commercial qui s'impose aux productions culturelles. Or, il est important de savoir que, historiquement, toutes les productions culturelles que je considère, - et je ne suis pas le seul, j'espère -, qu'un certain nombre de gens considèrent comme les productions les plus hautes de l'humanité, les mathématiques, la poésie, la littérature, la philosophie, toutes ces choses ont été produites contre l'équivalent de l'audimat, contre la logique du commerce. Pierre Bourdieu, "Sur la télévision". Raison d'Agir Editions, décembre 1996
Emmanuel Florac
Le Wed, 06 Oct 2004 16:56:09 -0400, GP a écrit :
En gros, en gros, Dieu me garde d'encenser George-les-Lapins sans raison, mais je pense qu'il a raison: il suffit de vérifier l'exit status. J'ai essayé, et ça fonctionne nickel.
Oui, et c'est plus propre que de comparer un message texte qui est toujours susceptible de varier d'une version à l'autre du logiciel, etc. Je vais complèter le message sur le forum alors...
-- Ce qu'il y a d'enivrant dans le mauvais goût c'est le plaisir aristocratique de déplaire. C. Baudelaire.
Le Wed, 06 Oct 2004 16:56:09 -0400, GP a écrit :
En gros, en gros, Dieu me garde d'encenser George-les-Lapins sans raison,
mais je pense qu'il a raison: il suffit de vérifier l'exit status. J'ai
essayé, et ça fonctionne nickel.
Oui, et c'est plus propre que de comparer un message texte qui est
toujours susceptible de varier d'une version à l'autre du logiciel, etc.
Je vais complèter le message sur le forum alors...
--
Ce qu'il y a d'enivrant dans le mauvais goût c'est le plaisir
aristocratique de déplaire.
C. Baudelaire.
En gros, en gros, Dieu me garde d'encenser George-les-Lapins sans raison, mais je pense qu'il a raison: il suffit de vérifier l'exit status. J'ai essayé, et ça fonctionne nickel.
Oui, et c'est plus propre que de comparer un message texte qui est toujours susceptible de varier d'une version à l'autre du logiciel, etc. Je vais complèter le message sur le forum alors...
-- Ce qu'il y a d'enivrant dans le mauvais goût c'est le plaisir aristocratique de déplaire. C. Baudelaire.
Emmanuel Florac
Le Wed, 06 Oct 2004 23:27:26 +0200, Jérémy JUST a écrit :
Sinon, question naïve (je ne connais rien au fonctionnement de ces trucs), est-ce que GPGME n'est pas une API autour de GPG pour l'utiliser facilement depuis des programmes?
Si, mais ce n'est pas une API supportée par l'équipe de dév de GPG, et elle utilise un certain nombre de hacks atroces, et son fonctionnement est étroitement lié à la bonne version de gpg, etc...
-- Sutor ne ultra Crepidam.
Le Wed, 06 Oct 2004 23:27:26 +0200, Jérémy JUST a écrit :
Sinon, question naïve (je ne connais rien au fonctionnement de ces
trucs), est-ce que GPGME n'est pas une API autour de GPG pour l'utiliser
facilement depuis des programmes?
Si, mais ce n'est pas une API supportée par l'équipe de dév de GPG, et
elle utilise un certain nombre de hacks atroces, et son fonctionnement
est étroitement lié à la bonne version de gpg, etc...
Le Wed, 06 Oct 2004 23:27:26 +0200, Jérémy JUST a écrit :
Sinon, question naïve (je ne connais rien au fonctionnement de ces trucs), est-ce que GPGME n'est pas une API autour de GPG pour l'utiliser facilement depuis des programmes?
Si, mais ce n'est pas une API supportée par l'équipe de dév de GPG, et elle utilise un certain nombre de hacks atroces, et son fonctionnement est étroitement lié à la bonne version de gpg, etc...
