La vérification des clés de signature de fichier PGP TarBall échoue sans données OpenPGP valides trouvées

Parfois, vous lisez des mots comme ceux-ci: "Il est essentiel de vérifier l'intégrité des fichiers téléchargés à l'aide des signatures PGP ou MD5 […] à l'aide des commandes suivantes […]".

gpg --import KEYS
gpg --verify <software-bundle>.asc

Tu sais que tu devrais faire. Et sans tout lire, vous pourriez penser: Deux commandes, une pour attacher le fichier de signature et une pour vérifier le logiciel téléchargé. Ce n'est pas.

KEYS ne fait pas référence au fichier asc téléchargé, mais à un fichier spécial nommé KEYS que vous devez télécharger séparément. Voir l'étape "Télécharger les clés". Le lien ne pointe pas vers le fichier asc comme vous pourriez le penser. Cela indique autre chose. Ces clés sont nécessaires pour vérifier l'intégrité du fichier asc lui-même. La deuxième commande semble alors effectuer les deux vérifications. Il vérifie le fichier asc donné en paramètre (en utilisant les clés importées), mais si vous essayez de l'exécuter sur le fichier asc autonome, il dit:

gpg: no signed data
gpg: can't hash datafile: No data

Je pense donc que cela vérifie également l'intégrité du logiciel, qui devrait être un fichier du même nom, à l'exception de la queue .asc dans le même répertoire. (Mais je n'ai pas trouvé de preuve pour que cela soit vrai maintenant.)