Recebemos uma explicação da equipe do GNU / GCC sobre isso, e os arquivos .sig estavam faltando devido a um erro com a replicação de arquivos em seus servidores espelho. Da equipe:
Interestingly, the .sig files are only on the GNU server (e.g., http://ftp.gnu.org/gnu/gcc/gcc-4.8.0/) but not on the GCC server (e.g., ftp://gcc.gnu.org/pub/gcc/releases/gcc-4.8.0/). As the latter is used by the mirrors, it is also not available on the mirrors.
Eu encontrei os arquivos .sig no servidor GNU como eles sugeriram, mas depois tive que cavar um pouco mais para encontrar o "arquivo de chaveiro GNU" necessário para realmente verificar a assinatura. Em suma, o processo de verificação foi:
$ wget http://www.netgull.com/gcc/releases/gcc-4.8.0/gcc-4.8.0.tar.gz
$ wget http://ftp.gnu.org/gnu/gcc/gcc-4.8.0/gcc-4.8.0.tar.gz.sig
$ wget ftp://ftp.gnu.org/gnu/gnu-keyring.gpg
$ gpg --verify --keyring ./gnu-keyring.gpg ./gcc-4.8.0.tar.gz.sig
gpg: Signature made Fri 22 Mar 2013 08:32:29 AM CDT using DSA key ID C3C45C06
gpg: Good signature from "Jakub Jelinek <[email protected]>"
gpg: Note: This key has expired!
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06
Espero que isso ajude alguém tentando verificar um tarball baixado de um dos sites espelho do GCC.