gnu gcc源档案与到期的GPG密钥签署？

Question

我正在拯救一款遗留下来的应用程序，它被抛在脑后，在极少数情况下被发现是需要的，其中一款发生在昨天。我需要重建一些图书馆，图书馆对gcc > 6.0有严格的依赖，服务器很遗憾地缺少了这一点。因此，我去寻找一个较新的gcc，并在这里找到镜像网站：https://gcc.gnu.org/mirrors.html，如http://www.netgull.com/gcc/releases/gcc-9.3.0/。(旁白:很多网站还在http上回答，而不是https，哦耶！)

gcc-9.3.0.tar.gz的档案签名在gcc-9.3.0.tar.gz.sig是与gnu.org页面上列出的Jelinek的钥匙，指纹33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06。

此密钥位于https://ftp.gnu.org/gnu/gnu-keyring.gpg的古老密钥环中，已过期。

为什么gcc的最新版本都是这样分布的呢？有什么我找不到的更新版本的钥匙吗？还是使用不同签名密钥的不同镜像站点？

Answer 1

对你的问题的迂腐回答是:当gcc-9.3.0发布时，钥匙还没有过期：

$ gpg --verify gcc-9.3.0.tar.gz.sig gcc-9.3.0.tar.gz
gpg: Signature made Thu 12 Mar 2020 07:32:47 AM EDT
gpg:                using DSA key A328C3A2C3C45C06 

签署于2020年3月，但密钥于2020年9月到期：

gpg --list-keys A328C3A2C3C45C06
pub   dsa1024/A328C3A2C3C45C06 2004-04-21 [SC] [expired: 2020-09-10]
      33C235A34C46AA3FFB293709A328C3A2C3C45C06

因此，它现在过期的事实并不是一个值得关注的问题。

值得关注的是，它是一个1024/DSA密钥，最近可能被认为不够强大。但是，我也可以看到，作者在2020年5月创建了一个更新的密钥：

pub   rsa4096/6C35B99309B5FA62 2020-05-28 [SC]
      D3A93CAD751C2AF4F8C7AD516C35B99309B5FA62

所以，gcc的下一张专辑也许会用这把钥匙签下来。