Próbuję zweryfikować plik z repo manjaro testing poprzez dostępny tam plik .sig i pojawia się komunikat błędu. Co powinienem tu jeszcze zrobić?
$ gpg --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg: przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Nie można sprawdzić podpisu: Brak klucza publicznego
Wykonałem kroki opisane na stronie Pacman troubleshooting - Manjaro, tj: sudo pacman -Syy sudo pacman-key --refresh-keys (tu nie pojawił się brakujący klucz)
sudo pacman-key --populate archlinux manjaro
Tu pojawił się brakujący klucz w sekcji jak poniżej:
==> Dodawanie kluczy z manjaro.gpg...
==> Lokalne podpisywanie zaufanych kluczy w bazie...
-> Lokalne podpisywanie klucza 39F0EC1AE50B37E5F3196F09DAD3B211663CA268...
Wykonałem także poniższą funkcję z listy, choć wydaje mi się niepotrzebna (i usunęła mi nie tylko nieużywane pakiety z cache, ale także starsze wersje aktualnie używanych pakietów - czego nie chciałem ) sudo pacman -Sc
Niestety, po tych operacjach pojawia się ciągle błąd jak w pierwszym poście.
Musisz zaimportować klucze do gpg. Klucze z Manjaro importujesz tak jak tutaj. Jeśli pakiet pochodzi z Archa to powinieneś także zaimportować tamtejsze klucze. To, co zrobiłeś miałoby zastosowanie przy weryfikacji pakietu za pomocą pacman-key.
Pakiet pochodzi z Manjaro testing (w stable jest ciągle jego starsza wersja).
Po wykoniu komend z linka od @Tomek jest trochę lepiej, ale ciągle brak właściwego poświadczenia. Komunikat jak poniżej:
$ gpg --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg: przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Poprawny podpis złożony przez ,,Bernhard Landauer <oberon@manjaro.org>'' [nieznany]
gpg: OSTRZEŻENIE: Ten klucz nie jest poświadczony zaufanym podpisem!
gpg: Nie ma pewności co do tożsamości osoby która złożyła podpis.
Odcisk klucza głównego: 39F0 EC1A E50B 37E5 F319 6F09 DAD3 B211 663C A268
W idealnej sytuacji udajesz się do niego (najlepiej osobiście, w realnym świecie, z mailami mogą się zdarzyć różne rzeczy), maile można, pytasz się, czy to jego klucz i jeśli potwierdzi, to edytujesz klucz, zwiększając jego zaufanie jak w linku. W praktyce wystarczy tylko edycja klucza. Tu chodzi o dodatkowe zabezpieczenie przed hipotetyczną sytuacją, gdy ktoś podrobi klucz lub podszywa się pod tą osobę i rozpowszechnia szkodliwe oprogramowanie czy inne rzeczy.
EDIT: Zwłaszcza że tu jeszcze dochodzi kwestia tego, że ten klucz pobrałeś z internetu. Mogła to być jakaś przypadkowa strona. My wiemy, że to są strony Manjaro przez nich utrzymywane i możemy im zaufać, jednak gdybyś chciał większej pewności, to spacerek do właściciela klucza byłby nieunikniony.
Oczywiście, dla porządku, należy dodać, że mieszanie pakietów z różnych gałęzi (w tym przypadku zapewne stable i testing) jest wyprzedzaniem na trzeciego.