Próbuję zweryfikować plik z repo manjaro testing poprzez dostępny tam plik .sig i pojawia się komunikat błędu. Co powinienem tu jeszcze zrobić?
$ gpg --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg: przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Nie można sprawdzić podpisu: Brak klucza publicznego
@robson75
Co miałeś na myśli podając ten link?
Wykonałem kroki opisane na stronie Pacman troubleshooting - Manjaro, tj:
sudo pacman -Syy
sudo pacman-key --refresh-keys (tu nie pojawił się brakujący klucz)
sudo pacman-key --populate archlinux manjaro
Tu pojawił się brakujący klucz w sekcji jak poniżej:
==> Dodawanie kluczy z manjaro.gpg...
==> Lokalne podpisywanie zaufanych kluczy w bazie...
-> Lokalne podpisywanie klucza 39F0EC1AE50B37E5F3196F09DAD3B211663CA268...
Wykonałem także poniższą funkcję z listy, choć wydaje mi się niepotrzebna (i usunęła mi nie tylko nieużywane pakiety z cache, ale także starsze wersje aktualnie używanych pakietów - czego nie chciałem )
sudo pacman -Sc
Niestety, po tych operacjach pojawia się ciągle błąd jak w pierwszym poście.
Czy to błąd systemu, czy może ja coś źle robię?
Musisz zaimportować klucze do gpg. Klucze z Manjaro importujesz tak jak tutaj. Jeśli pakiet pochodzi z Archa to powinieneś także zaimportować tamtejsze klucze. To, co zrobiłeś miałoby zastosowanie przy weryfikacji pakietu za pomocą pacman-key.
Pakiet pochodzi z Manjaro testing (w stable jest ciągle jego starsza wersja).
Po wykoniu komend z linka od @Tomek jest trochę lepiej, ale ciągle brak właściwego poświadczenia. Komunikat jak poniżej:
$ gpg --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg: przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Poprawny podpis złożony przez ,,Bernhard Landauer <oberon@manjaro.org>'' [nieznany]
gpg: OSTRZEŻENIE: Ten klucz nie jest poświadczony zaufanym podpisem!
gpg: Nie ma pewności co do tożsamości osoby która złożyła podpis.
Odcisk klucza głównego: 39F0 EC1A E50B 37E5 F319 6F09 DAD3 B211 663C A268
pacman-key --verify
OK. Teraz wygląda dobrze 
$ pacman-key --verify palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst
==> Checking palemoon-bin-28.14.2-1-x86_64.pkg.tar.zst.sig... (detached)
gpg: Podpisano w pią, 2 paź 2020, 22:50:11 CEST
gpg: przy użyciu klucza RSA 39F0EC1AE50B37E5F3196F09DAD3B211663CA268
gpg: Uwaga: nie można zapisywać bazy zaufania
gpg: Poprawny podpis złożony przez ,,Bernhard Landauer <bernhard@manjaro.org>'' [pełne]
gpg: alias ,,Bernhard Landauer <oberon@manjaro.org>'' [pełne]
Ten komunikat jest standardowy dopóki jeszcze dodatkowo nie potwierdzisz tożsamości tej osoby. Kwestia bezpieczeństwa. Dodatkowe szczegóły:
Może nie rozumiem…
Jak w tym konkretnym przypadku potwierdzić tożsamość tej osoby? (Bernhard Landauer to no 2 w Manjaro: Manjaro Team)
W idealnej sytuacji udajesz się do niego (najlepiej osobiście, w realnym świecie, z mailami mogą się zdarzyć różne rzeczy), maile można, pytasz się, czy to jego klucz i jeśli potwierdzi, to edytujesz klucz, zwiększając jego zaufanie jak w linku. W praktyce wystarczy tylko edycja klucza. Tu chodzi o dodatkowe zabezpieczenie przed hipotetyczną sytuacją, gdy ktoś podrobi klucz lub podszywa się pod tą osobę i rozpowszechnia szkodliwe oprogramowanie czy inne rzeczy.
EDIT: Zwłaszcza że tu jeszcze dochodzi kwestia tego, że ten klucz pobrałeś z internetu. Mogła to być jakaś przypadkowa strona. My wiemy, że to są strony Manjaro przez nich utrzymywane i możemy im zaufać, jednak gdybyś chciał większej pewności, to spacerek do właściciela klucza byłby nieunikniony.
Oczywiście, dla porządku, należy dodać, że mieszanie pakietów z różnych gałęzi (w tym przypadku zapewne stable i testing) jest wyprzedzaniem na trzeciego.