gpg --import bind-9.9.4.tar.gz.sha1.asc завершается ошибкой и не найдены действительные данные OpenPGP

--import используется для импорта ключей, а не для проверки подписи.

.asc Файл обычно представляет собой отдельную подпись GPG. Если у вас есть файлы foo.tar.gz а также foo.tar.gz.asc (или же foo.tar.gz.sig), тогда вы можете проверить файл foo.tar.gz с:

gpg foo.tar.gz.asc

Однако в вашем случае имя файла не соответствует этому шаблону, поэтому вы должны указать --verify вариант явно. Согласно странице руководства gpg (1):

--verify

Предположим, что первым аргументом является подписанный файл или отдельная подпись, и проверьте его, не создавая выходных данных. Без аргументов пакет подписи читается из STDIN. Если указан только sigfile, это может быть полная подпись или отдельная подпись, и в этом случае подписанный материал ожидается в файле без расширения ".sig" или ".asc". С более чем одним аргументом, первый должен быть отдельной подписью, а остальные файлы - подписанным. Чтобы прочитать подписанный материал из STDIN, используйте "-" в качестве второго имени файла. По соображениям безопасности отдельная подпись не может прочитать подписанный материал из STDIN, не обозначив его вышеупомянутым способом.

Таким образом:

$ gpg --verify bind-9.9.4.tar.gz.sha1.asc bind-9.9.4.tar.gz
gpg: Signature made Wed 18 Sep 2013 09:25:43 PM CEST using RSA key ID 189CDBC5
gpg: Can't check signature: No public key

Теперь этот ключ можно импортировать с помощью:

gpg --recv-keys 189CDBC5

Обязательно проверьте этот ключ. В идеале вы встретите этого человека, но, не сумев этого сделать, посмотрите на доверие других к этому ключу (дистрибутивы Linux, друзья и т. Д.). Помните, что GPG - это сеть доверия.

Смотрите также:

• Руководство GPG - Создание и проверка подписей