La vérification des clés de Signature du fichier TarBall PGP échoue sans aucune donnée OpenPGP valide trouvée

parfois, vous lire mots comme ceux-ci: "il est essentiel que vous vérifiez l'intégrité des fichiers téléchargés en utilisant les signatures PGP ou MD5 [...] en utilisant les commandes suivantes [...]".

gpg --import KEYS
gpg --verify <software-bundle>.asc

Tu sais que tu devrais le faire. Et sans lire tout cela, vous pouvez penser: deux commandes, l'une pour joindre le fichier de signature et l'autre pour vérifier le logiciel téléchargé. Il n'est pas.

KEYS ne vise pas le téléchargé fichier asc, mais à un fichier spécial nommé KEYS que vous devez télécharger séparément. Voir l'étape "Télécharger les clés". Le lien ne pointe pas vers le fichier asc que vous pourriez le penser. Il indique quelque chose d'autre. Ces CLÉS sont nécessaires pour vérifier l'intégrité du fichier asc. La deuxième commande semble alors effectuer les deux vérifications. Il vérifie l'asc fichier donné en paramètre (en utilisant les clés importées), mais si vous essayez de l'exécuter sur l'autonome fichier asc, il dit:

gpg: no signed data
gpg: can't hash datafile: No data

donc je pense qu'il vérifie aussi l'intégrité du logiciel, qui est censé être un fichier avec le même nom à l'exception du tailing .asc dans le même répertoire. (Mais je n'ai pas trouver une preuve pour que cela soit vrai.)