<div dir="ltr">Thanks. I exported my keys to <span style="font-size:12.800000190734863px">~/.gnupg/trustedkeys.gpg.</span> I tried gpgv2 but got the following <div><br></div><div><div style="font-family:Calibri;font-size:14.666666984558105px">bash-3.2$ gpgv2 declaration.pgp</div><div style="font-family:Calibri;font-size:14.666666984558105px">gpgv: verify signatures failed: Unexpected error</div><div style="font-family:Calibri;font-size:14.666666984558105px"> </div><div style="font-family:Calibri;font-size:14.666666984558105px">Adding --verbose did not affect this (Note this is a OpenCSW install)</div><div style="font-family:Calibri;font-size:14.666666984558105px"> </div><div style="font-family:Calibri;font-size:14.666666984558105px">However, if I simply decrypt the file I get confirmation of the signature</div><div style="font-family:Calibri;font-size:14.666666984558105px"><br></div><div style="font-family:Calibri;font-size:14.666666984558105px">bash-3.2$ gpg2  --output declaration.txt  --decrypt declaration.pgp</div><div style="font-family:Calibri;font-size:14.666666984558105px"> </div><div style="font-family:Calibri;font-size:14.666666984558105px">gpg: encrypted with 2048-bit RSA key, ID C0F7C32A, created 2017-10-26</div><div style="font-family:Calibri;font-size:14.666666984558105px">      "<my dummy key>"</div><div style="font-family:Calibri;font-size:14.666666984558105px">gpg: Signature made Mon Oct 30 13:04:26 2017 NZDT using RSA key ID 0A5F3B0F</div><div style="font-family:Calibri;font-size:14.666666984558105px">gpg: Good signature from "<third party dummy key>" [ultimate]</div></div><div style="font-family:Calibri;font-size:14.666666984558105px"><br></div><div style="font-family:Calibri;font-size:14.666666984558105px"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 28 October 2017 at 00:20, Werner Koch <span dir="ltr"><<a href="mailto:wk@gnupg.org" target="_blank">wk@gnupg.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, 27 Oct 2017 06:01, <a href="mailto:dan.horne@redbone.co.nz">dan.horne@redbone.co.nz</a> said:<br>
<br>
> gpg2 --verify-sign <key-id> <filename><br>
<br>
Verification against a set of known keys is done using gpgv<br>
<br>
  gpgv FILE<br>
<br>
which uses ~/.gnupg/trustedkeys.gpg.  To specifiy another file with keys<br>
you use<br>
<br>
  gpgv --keyring KEYRING FILE<br>
<br>
here is how we do this when building GnUPG using the Speedo scripts:<br>
<br>
  if ! $GPGV --keyring "$distsigkey" swdb.lst.sig swdb.lst; then<br>
    echo "list of software versions is not valid!" >&2<br>
    exit 1<br>
  fi<br>
<br>
This is from gnupg/build-aux/getswdb.sh.  To create the file with the<br>
keys you can do this:<br>
<br>
  gpg --export --export-options export-minimal FPR1 FPR2 FPR2 >trustedkeys.gpg<br>
<br>
Do _not_ use --armor.  --export-options is not really required but<br>
strips down the size of the key.<br>
<br>
<br>
@Rob: Shouldn't we mention gpgv in the FAQ?<br>
<br>
<br>
Shalom-Salam,<br>
<br>
   Werner<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.<br>
</font></span></blockquote></div><br></div>