gpg --import bind-9.9.4.tar.gz.sha1.asc завершается ошибкой, не найдены действительные данные OpenPGP

--import используется для импорта ключей, а не для проверки подписи.

В .asc файл обычно представляет собой отдельную подпись GPG. Если у вас есть файлы foo.tar.gz и foo.tar.gz.asc (или foo.tar.gz.sig), тогда вы можете проверить файл foo.tar.gz с участием:

gpg foo.tar.gz.asc

Однако в вашем случае имя файла не соответствует этому шаблону, поэтому вы должны указать --verify вариант явно. Согласно странице руководства gpg (1):

- проверить

Предположим, что первый аргумент - это подписанный файл или отдельная подпись, и проверьте его, не создавая никаких выходных данных. Без аргументов пакет подписи считывается из STDIN. Если задан только sigfile, это может быть полная подпись или отдельная подпись, и в этом случае подписанный материал ожидается в файле без расширения «.sig» или «.asc». Если аргумент больше 1, первая должна быть отдельной подписью, а остальные файлы - подписанными. Чтобы прочитать подписанный материал из STDIN, используйте '-' в качестве второго имени файла. По соображениям безопасности отдельная подпись не может считывать подписанный материал из STDIN, не обозначая его указанным выше способом.

Таким образом:

$ gpg --verify bind-9.9.4.tar.gz.sha1.asc bind-9.9.4.tar.gz
gpg: Signature made Wed 18 Sep 2013 09:25:43 PM CEST using RSA key ID 189CDBC5
gpg: Can't check signature: No public key

Теперь этот ключ можно импортировать с помощью:

gpg --recv-keys 189CDBC5

Обязательно проверьте этот ключ. В идеале вы должны встретить этого человека, но если это не удается, обратите внимание на доверие других к этому ключу (дистрибутивы Linux, друзья и т. Д.). Помните, что GPG - это сеть доверия.

Смотрите также:

• Справочник GPG - Создание и проверка подписей