Die SHA1-Signaturen dienen doch nur dazu, zu prüfen, ob die Datei intakt heruntergeladen wurde oder sie eine Inkonsistenz hat. Wenn jemand auf dem Server einbrechen würde, könnte er die SHA1-Signaturen problemlos mit ändern. Oder hast du dir die SHA1-Checksummen lokal gespeichert und prüfst regelmäßig, ob sie noch korrekt sind?
Für die "Echtheitsprüfung" der Dateien sind die GnuPG-Signaturen gedacht, da die mit meinem Private-Key erstellt wurden und damit eine Manipulation des Downloads auffallen würde.
Unabhängig davon: Das Erstellen der SHA-256 Checksummen ist im Build-Script bereits drin. Seither gab es aber noch nicht wieder ein neues Release. Und extra wegen der Checksummen erstelle ich kein neues Release. Siehe
https://github.com/willuhn/jam…/build.xml