Não sei ao certo o que você tenta alcançar. A assinatura de um arquivo não é importada! Eu dividi a resposta em duas partes, dependendo do que você realmente queria alcançar. Eu mudei o URI de exemplo para refletir o uso real, mas o nome do arquivo não importa para o GnuPG.
Não importando uma chave
Quando o GnuPG verifica um arquivo assinado, ele também verifica a validade da chave. Esta é uma operação que requer que a chave esteja no chaveiro.
Se você se preocupa em não ter as chaves verificadas no seu conjunto de chaves, considere usar outro $GNUPGHOME usando algo como
export GNUPGHOME=/tmp/gpg-verify
curl http://example.com/key.asc | gpg --import
gpg --verify file.txt
rm -r /tmp/gpg-verify
Verificando uma assinatura destacada
Se você quiser carregar a assinatura (desanexada) de um URI, use o curl e canalize a assinatura para gpg . De man gpg :
--verifyAssume that the first argument is a signed file or a detached signature and verify it without generating any output. With no arguments, the signature packet is read from
STDIN.
A linha de comando usada seria algo como
curl http://www.example.com/signature.asc | gpg --verify file.txt