Encontrando o arquivo para uma assinatura separada
gpg verificará automaticamente as assinaturas desanexadas em relação ao mesmo nome de arquivo, sem .asc ou .sig enxtension. De man gpg :
--verify
Assume that the first argument is a signed file or a detached signature and
verify it without generating any output. With no arguments, the signature
packet is read from STDIN. If only a sigfile is given, it may be a complete
signature or a detached signature, in which case the signed stuff is expected
in a file without the ".sig" or ".asc" extension. With more than 1 argument,
the first should be a detached signature and the remaining files are the
signed stuff. To read the signed stuff from STDIN, use '-' as the second
filename. For security reasons a detached signature cannot read the signed
material from STDIN without denoting it in the above way.
Assim, gpg --verify package_name.asc espera que o arquivo assinado esteja disponível como package_name . Se não estiver (ou em outro local), forneça também o caminho para este arquivo:
gpg --verify detached_siganture.asc signed_file
É o arquivo correto?
O OpenPGP não espera que o nome do arquivo (ou qualquer outro identificador) seja armazenado na assinatura. Mas: a assinatura é a soma de hash do arquivo assinado, criptografada com a chave privada do assinante, para que possa ser descriptografada com sua chave pública. Se a soma de hashes descriptografada não corresponder à do arquivo usado para verificação, você saberá que o arquivo não é o mesmo que foi assinado (mas não pode dizer se é o arquivo errado por causa da seleção incorreta ou se foi violado ).