<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>I'm on an Arch Linux system:</div><div><div>$ uname -a</div><div>Linux wink-desktop 5.0.4-arch1-1-ARCH #1 SMP PREEMPT Sat Mar 23 21:00:33 UTC 2019 x86_64 GNU/Linux</div><div><br></div><div>My gpg version is:</div><div>$ gpg --version</div><div>gpg (GnuPG) 2.2.15</div><div>libgcrypt 1.8.4</div><div>Copyright (C) 2019 Free Software Foundation, Inc.</div><div>License GPLv3+: GNU GPL version 3 or later <<a href="https://gnu.org/licenses/gpl.html">https://gnu.org/licenses/gpl.html</a>></div><div>This is free software: you are free to change and redistribute it.</div><div>There is NO WARRANTY, to the extent permitted by law.</div><div><br></div><div>Home: /home/wink/.gnupg</div><div>Supported algorithms:</div><div>Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA</div><div>Cipher: IDEA, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128,</div><div>        CAMELLIA192, CAMELLIA256</div><div>Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224</div><div>Compression: Uncompressed, ZIP, ZLIB, BZIP2</div></div><div><br></div><div><br></div><div dir="ltr">I went to <a href="http://releases.llvm.org/download.html" target="_blank">http://releases.llvm.org/download.html</a><span style="font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:16px"> and downloaded llvm-8.0.0:</span></div><div dir="ltr"><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><span style="font-size:16px"><a href="http://releases.llvm.org/8.0.0/llvm-8.0.0.src.tar.xz" target="_blank">http://releases.llvm.org/8.0.0/llvm-8.0.0.src.tar.xz</a></span></font></div><div dir="ltr"><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><span style="font-size:16px"><a href="http://releases.llvm.org/8.0.0/llvm-8.0.0.src.tar.xz.sig" target="_blank">http://releases.llvm.org/8.0.0/llvm-8.0.0.src.tar.xz.sig</a></span></font></div><div dir="ltr"><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><span style="font-size:16px"><a href="http://releases.llvm.org/8.0.0/hans-gpg-key.asc" target="_blank">http://releases.llvm.org/8.0.0/hans-gpg-key.asc</a></span><br></font></div><div dir="ltr"><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><span style="font-size:16px"><br></span></font></div><div><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><span style="font-size:16px">I tried to import hans-gpg-key.asc but got an error:</span></font></div><div dir="ltr"><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><div dir="ltr" style="font-size:16px">$ gpg --import hans-gpg-key.asc </div><div dir="ltr" style="font-size:16px">gpg: Note: signatures using the SHA1 algorithm are rejected</div><div dir="ltr" style="font-size:16px">gpg: key 0x0FC3042E345AD05D: 2 bad signatures</div><div dir="ltr" style="font-size:16px">gpg: key 0x0FC3042E345AD05D: no valid user IDs</div><div dir="ltr" style="font-size:16px">gpg: this may be caused by a missing self-signature</div><div dir="ltr" style="font-size:16px">gpg: Total number processed: 1</div><div dir="ltr" style="font-size:16px">gpg:           w/o user IDs: 1</div><div style="font-size:16px"><br></div><div style="font-size:16px">Searched around and found there is ----allow-non-selfsigned-uid and</div><div style="font-size:16px">it appears to succeed:</div></font><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"><div><div><span style="font-size:16px">$ gpg --import --allow-non-selfsigned-uid hans-gpg-key.asc </span></div><div><span style="font-size:16px">gpg: Note: signatures using the SHA1 algorithm are rejected</span></div><div><span style="font-size:16px">gpg: key 0x0FC3042E345AD05D: 2 bad signatures</span></div><div><span style="font-size:16px">gpg: key 0x0FC3042E345AD05D: accepted non self-signed user ID "Hans Wennborg <<a href="mailto:hans@chromium.org" target="_blank">hans@chromium.org</a>>"</span></div><div><span style="font-size:16px">gpg: key 0x0FC3042E345AD05D: public key "Hans Wennborg <<a href="mailto:hans@chromium.org" target="_blank">hans@chromium.org</a>>" imported</span></div><div><span style="font-size:16px">gpg: Total number processed: 1</span></div><div><span style="font-size:16px">gpg:               imported: 1</span></div></div><div style="font-size:16px"><br></div><div style="font-size:16px">But when I verify I get an error "SHA1 algorithm rejected":</div><div style="font-size:16px"><div>$ gpg --verify llvm-8.0.0.src.tar.xz.sig llvm-8.0.0.src.tar.xz</div><div>gpg: Signature made Mon 18 Mar 2019 06:32:17 AM PDT</div><div>gpg:                using RSA key B6C8F98282B944E3B0D5C2530FC3042E345AD05D</div><div>gpg: Note: signatures using the SHA1 algorithm are rejected</div><div>gpg: Can't check signature: Bad public key</div><div><br></div><div><br></div></div><div style="font-size:16px">Have I done something wrong?</div><div style="font-size:16px"><br></div><div style="font-size:16px">Is there an md5sum or some other HASH available so I could check the source manually?</div><div style="font-size:16px"><br></div><div style="font-size:16px">-- Wink</div><div style="font-size:16px"><br></div><div style="font-size:16px"><br></div></font></div></div></div></div></div></div></div></div></div></div>