Podpisy cyfrowe repozytoriów (klucze GPG)

W AUR występują pakiety dodające do bazy cyfrowy podpis. W takiej sytuacji najczęściej próbujemy ściągnąć i odświeżyć klucze archlinux-keyring, a w manjaro dodatkowo manjaro-keyring. Można ten proces wykonać ręcznie dla określonej paczki jeśli znamy jej ID.
Również można wykonać na dystrybucjach bazujących na Debianie.

gpg --keyserver pgp.mit.edu --recv-keys ID_KLUCZA

Przydatny skrypt do dodawania kluczy:

#!/bin/sh
for KEY in $@; do
    echo "Przetwarzanie klucza $KEY:"
    echo -n " -> pobieranie klucza z serwera... " && 
      gpg --keyserver pgp.mit.edu --recv-keys "$KEY" >/dev/null 2>&1 && 
      echo "OK" && echo -n " -> dodawanie klucza do bazy... " && 
      gpg --armor --export "$KEY" | apt-key add -
done

Jego wykonanie na przykładzie dwóch kluczy:

./dodaj_klucze.sh EA8E8B2116BA136C 3D8C732C3799DA8A