I guess that&#39;s something I&#39;d need to convince the CentOS people to fix. :) <br><br><div class="gmail_quote">On Fri, May 21, 2010 at 9:07 AM, James Antill <span dir="ltr">&lt;<a href="mailto:james@fedoraproject.org">james@fedoraproject.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On Thu, 2010-05-20 at 15:26 -0700, Joshua Bahnsen wrote:<br>
&gt; When createrepo 0.4.11 caches the SHA1 hash, it appears to store the<br>
&gt; SHA1 hash value in a file that looks like this:<br>
&gt;<br>
&gt;<br>
&gt; &lt;filename&gt;-&lt;sha1header&gt;-&lt;filesize&gt;-&lt;mtime&gt;<br>
&gt;<br>
&gt;<br>
&gt; Unfortunately this isn&#39;t enough...<br>
&gt;<br>
&gt;<br>
&gt; Take for example these 2 files:<br>
&gt; <a href="http://msync.centos.org/centos/5.4/updates/x86_64/RPMS/cyrus-sasl-plain-2.1.22-5.el5_4.3.i386.rpm" target="_blank">http://msync.centos.org/centos/5.4/updates/x86_64/RPMS/cyrus-sasl-plain-2.1.22-5.el5_4.3.i386.rpm</a><br>

&gt; <a href="http://msync.centos.org/centos/5.4/updates/i386/RPMS/cyrus-sasl-plain-2.1.22-5.el5_4.3.i386.rpm" target="_blank">http://msync.centos.org/centos/5.4/updates/i386/RPMS/cyrus-sasl-plain-2.1.22-5.el5_4.3.i386.rpm</a><br>

&gt;<br>
&gt;<br>
&gt; All 4 items used to store the hash are exactly the same<br>
&gt; cyrus-sasl-plain-2.1.22-5.el5_4.3.i386.rpm-9d85fb047de144d46c75159cc938b540298d626e-27426-1269710765<br>
&gt;<br>
&gt; However the actual hash values of these 2 files are in fact different.<br>
<br>
</div>[...]<br>
<div class="im"><br>
&gt; I&#39;ve traced this back to the GPG signature. You&#39;ll see they are signed<br>
&gt; with the same signature, however after removing the signature from<br>
&gt; both files we are left with 2 identical files, meaning the actual<br>
&gt; contents of the RPM are the same. If you dump the RPM header, you&#39;ll<br>
&gt; see the only difference is the GPG signature.<br>
<br>
</div> It might be worth fixing this in createrepo, _however_ I&#39;d strongly<br>
recommend not signing the same file twice ... and thus. generating an<br>
extra download for all users/mirrors/etc.<br>
<br>
_______________________________________________<br>
Rpm-metadata mailing list<br>
<a href="mailto:Rpm-metadata@lists.baseurl.org">Rpm-metadata@lists.baseurl.org</a><br>
<a href="http://lists.baseurl.org/mailman/listinfo/rpm-metadata" target="_blank">http://lists.baseurl.org/mailman/listinfo/rpm-metadata</a><br>
</blockquote></div><br>