On 2018-12-03 06:26:36 +0300, Dmitry V. Levin wrote:

 >>> gpg: Can't check signature: public key not found
 >>> task add: tag signature verification failure
 >>> Причина: ключ мейнтейнера, собравшего заданный релиз пакета,
 >>> истёк.
 >> И с чего бы это изба-то покосилась?
 >> Ключам вообще свойственно просрачиваться, но уже сделанные
 >> ими подписи от этого актуальности не теряют - лишь бы
 >> $sign_time было раньше $expiry_time
 > Просроченный ключ теряет свою актуальность вместе со всеми
 > подписями.

Да ну? Простейший контрпример: допустим, у тебя в почтовом
архиве лежит сообщение 10-летней давности от меня, которое
было подписано моим поза-поза-поза-прошлым ключом, и этот
ключ проср... утратил актуальность 9 лет назад. Неужели от
этого сообщение перестает быть корректно подписанным? :-)

А создание тега в репе или задания на сборку - точно такое
же сообщение, только адресованное соответствующему роботу.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net