Apache Lucene 5.3.0版本密钥:缺少密钥3FCFDB3E

Question

我正在尝试安装Apache Lucene 5.3.0 (从源代码开始)。镜像站点提供lucene-5.3.0-src.tgz和lucene-5.3.0-src.tgz.asc (签名文件)，但是后者使用的是未包含在KEYS文件(也提供)中的RSA 3FCFDB3E。

$ gpg --verify ./lucene-5.3.0-src.tgz.asc gpg: assuming signed data in `./lucene-5.3.0-src.tgz' gpg: Signature made 2015-08-17T13:35:34 CEST using RSA key ID 3FCFDB3E gpg: Can't check signature: public key not found

这个问题似乎影响了多个网站。指纹应该是什么？为什么密钥不包含在KEYS文件中？

Answer 1

看起来key of Paul Noble就是你要找的，有指纹

CFCE 5FBB 920C 3C74 5CEE  E084 C38F F5EC 3FCF DB3E

这把钥匙是相当新的(几个星期前的)。

你不能真正确定他是否被允许发布Apache Lucene，也不能确定密钥实际上是否属于他。

一个简短的Google survey at least indicates several contributions to free software，还有Linux内核，但如果没有进一步的分析，这不应该被认为是可信的。也没有传入的证书可用于通过信任网验证密钥。

我建议与Apache取得联系，可能是在Lucene邮件列表上，并询问开发人员如何基于什么信任假设来验证版本。并指出它们应该更改的错误(例如，将密钥包含在密钥文件中)。

Answer 2

lucene项目的密钥文件“发布”位置的策略有点令人困惑，id.apache.org -> people.apache.org的使用和它根据每个项目委员会的当前密钥自动生成密钥文件的使用更是令人困惑。这里有一些背景故事。

https://issues.apache.org/jira/browse/LUCENE-5143

目前的政策是，每个新的Lucene/Solr版本都会发布所有当前密钥的快照，因此对于5.3.0，它将在这里...

https://www.apache.org/dist/lucene/java/5.3.0/KEYS

...but旧的“非特定版本”密钥文件仍然可用-特别是用于验证存档中可能早于当前策略的旧版本软件。

您总是可以使用http://people.apache.org/keys/查看给定apache项目/用户的所有“活动”键的列表

http://people.apache.org/keys/group/lucene.asc