Comment les signatures détachées sont-elles utilisées pour vérifier l'intégrité et l'authenticité d'un fichier ?

Trouver le fichier d'une signature détachée

gpg vérifiera automatiquement les signatures détachées contre le même nom de fichier, sans .asc o .sig enxtension. De man gpg :

--verify
  Assume  that  the first argument is a signed file or a detached signature and
  verify it without generating any output. With  no  arguments,  the  signature
  packet  is  read from STDIN. If only a sigfile is given, it may be a complete
  signature or a detached signature, in which case the signed stuff is expected
  in a file without the ".sig" or ".asc" extension.  With more than 1 argument,
  the first should be a detached signature and  the  remaining  files  are  the
  signed  stuff.  To  read  the  signed stuff from STDIN, use '-' as the second
  filename.  For security reasons a detached signature cannot read  the  signed
  material from STDIN without denoting it in the above way.

Así, gpg --verify package_name.asc s'attend à ce que le fichier signé soit disponible en tant que package_name . S'il ne l'est pas (ou s'il se trouve à un autre endroit), indiquez également le chemin d'accès à ce fichier :

gpg --verify detached_siganture.asc signed_file

Est-ce le bon dossier ?

OpenPGP n'attend pas que le nom du fichier (ou tout autre identifiant) soit stocké dans la signature. Mais : la signature est la somme de hachage du fichier signé, chiffrée avec la clé privée du signataire, de sorte qu'elle peut être déchiffrée avec sa clé publique. Si la somme de hachage décryptée ne correspond pas à celle du fichier utilisé pour la vérification, vous savez que le fichier n'est pas le même que celui qui a été signé (mais vous ne pouvez pas dire s'il s'agit du mauvais fichier parce que vous avez choisi le mauvais ou s'il a été falsifié).