<div dir="ltr">I think a listing is sufficient.  I just need to know which keys might be used.<div><br></div><div>Btw, here's my use case:<div><br></div><div><div>ENV GPG_KEYS \</div><div># 4096R/345AD05D 2015-01-20 Hans Wennborg <<a href="mailto:hans@chromium.org">hans@chromium.org</a>></div><div>  B6C8F98282B944E3B0D5C2530FC3042E345AD05D \</div><div># 2048R/02119294 2014-05-06 Tom Stellard <<a href="mailto:tstellar@redhat.com">tstellar@redhat.com</a>></div><div>  11E521D646982372EB577A1F8F0871F202119294 \</div><div># 2048R/BB5A0569 2013-12-24 Bill Wendling <<a href="mailto:void@llvm.org">void@llvm.org</a>></div><div>  54E3BDE33185D9F69664D22455F5CD70BB5A0569 \</div><div># 4096R/7BFB4EDA 2014-06-16 Brad King <<a href="mailto:brad.king@kitware.com">brad.king@kitware.com</a>></div><div>  CBA23971357C2E6590D9EFD3EC8FEF3A7BFB4EDA</div><div><br></div><div>RUN set -ex; \</div><div>  for key in $GPG_KEYS; do \</div><div>    gpg --keyserver <a href="http://pgp.key-server.io">pgp.key-server.io</a> --recv-keys "$key"; \</div><div>  done</div><div><br></div><div>RUN set -ex; \</div><div> curl -fSL <a href="https://cmake.org/files/v3.7/cmake-3.7.2-SHA-256.txt">https://cmake.org/files/v3.7/cmake-3.7.2-SHA-256.txt</a> -o cmake-3.7.2-SHA-256.txt; \</div><div> curl -fSL <a href="https://cmake.org/files/v3.7/cmake-3.7.2-SHA-256.txt.asc">https://cmake.org/files/v3.7/cmake-3.7.2-SHA-256.txt.asc</a> -o cmake-3.7.2-SHA-256.txt.asc; \</div><div> curl -fSL <a href="https://cmake.org/files/v3.7/cmake-3.7.2-Linux-x86_64.tar.gz">https://cmake.org/files/v3.7/cmake-3.7.2-Linux-x86_64.tar.gz</a> -o cmake-3.7.2-Linux-x86_64.tar.gz; \</div><div> gpg --verify cmake-3.7.2-SHA-256.txt.asc; \</div><div> grep cmake-3.7.2-Linux-x86_64.tar.gz cmake-3.7.2-SHA-256.txt | sha256sum --check; \</div><div> tar -xf cmake-3.7.2-Linux-x86_64.tar.gz -C /usr/local --strip-components=1; \</div><div> rm cmake-3.7.2-Linux-x86_64.tar.gz</div><div><br></div><div>RUN set -ex; \</div><div> curl -fSL <a href="https://releases.llvm.org/4.0.1/llvm-4.0.1.src.tar.xz">https://releases.llvm.org/4.0.1/llvm-4.0.1.src.tar.xz</a> -o llvm.src.tar.xz; \</div><div> curl -fSL <a href="https://releases.llvm.org/4.0.1/llvm-4.0.1.src.tar.xz.sig">https://releases.llvm.org/4.0.1/llvm-4.0.1.src.tar.xz.sig</a> -o llvm.src.tar.xz.sig; \</div><div> gpg --batch --verify llvm.src.tar.xz.sig llvm.src.tar.xz; \</div></div><div>...</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 10, 2017 at 2:22 PM, Hans Wennborg <span dir="ltr"><<a href="mailto:hans@chromium.org" target="_blank">hans@chromium.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I suppose we could do this.<br>
<br>
Which do you think would be better, having a link together with each<br>
release (which we have for some), or just listing the most frequently<br>
used keys near the top?<br>
<div><div class="h5"><br>
On Wed, Aug 9, 2017 at 8:57 PM, don hinton via llvm-dev<br>
<<a href="mailto:llvm-dev@lists.llvm.org">llvm-dev@lists.llvm.org</a>> wrote:<br>
> I see that some, but not all, releases provide a local link to the key used<br>
> to generate the signature files, which makes it difficult for a script to<br>
> use them to verify the signatures.<br>
><br>
> Gcc solves this problem by including the following on their mirrors page<br>
> (<a href="https://gcc.gnu.org/mirrors.html" rel="noreferrer" target="_blank">https://gcc.gnu.org/mirrors.<wbr>html</a>):<br>
><br>
> The archives there will be signed by one of the following GnuPG keys:<br>
><br>
> 1024D/745C015A 1999-11-09 Gerald Pfeifer <<a href="mailto:gerald@pfeifer.com">gerald@pfeifer.com</a>><br>
> Key fingerprint = B215 C163 3BCA 0477 615F 1B35 A5B3 A004 745C 015A<br>
> 1024D/B75C61B8 2003-04-10 Mark Mitchell <<a href="mailto:mark@codesourcery.com">mark@codesourcery.com</a>><br>
> Key fingerprint = B3C4 2148 A44E 6983 B3E4 CC07 93FA 9B1A B75C 61B8<br>
> 1024D/902C9419 2004-12-06 Gabriel Dos Reis <<a href="mailto:gdr@acm.org">gdr@acm.org</a>><br>
> Key fingerprint = 90AA 4704 69D3 965A 87A5 DCB4 94D0 3953 902C 9419<br>
> 1024D/F71EDF1C 2000-02-13 Joseph Samuel Myers <<a href="mailto:jsm@polyomino.org.uk">jsm@polyomino.org.uk</a>><br>
> Key fingerprint = 80F9 8B2E 0DAB 6C82 81BD F541 A7C8 C3B2 F71E DF1C<br>
> 2048R/FC26A641 2005-09-13 Richard Guenther <<a href="mailto:richard.guenther@gmail.com">richard.guenther@gmail.com</a>><br>
> Key fingerprint = 7F74 F97C 1034 68EE 5D75 0B58 3AB0 0996 FC26 A641<br>
> 1024D/C3C45C06 2004-04-21 Jakub Jelinek <<a href="mailto:jakub@redhat.com">jakub@redhat.com</a>><br>
> Key fingerprint = 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06<br>
><br>
> Would it make sense to add something similar to our download page?<br>
><br>
> thanks...<br>
> don<br>
><br>
><br>
</div></div>> ______________________________<wbr>_________________<br>
> LLVM Developers mailing list<br>
> <a href="mailto:llvm-dev@lists.llvm.org">llvm-dev@lists.llvm.org</a><br>
> <a href="http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">http://lists.llvm.org/cgi-bin/<wbr>mailman/listinfo/llvm-dev</a><br>
><br>
</blockquote></div><br></div>