Unfortunately the whole signed mirror system falls down because it relies on md5 hashes (<a href="http://www.kb.cert.org/vuls/id/836068">http://www.kb.cert.org/vuls/id/836068</a>) although the signing key seems to be long enough. What would it take to get SHA-2 (or 3) added?