kB schrieb:
Das Wort „KEYS“ nicht wörtlich in den Befehl übernehmen, sondern:
Du musst Dir vom Ersteller des herunterzuladenden Datei den öffentlichen PGP/GnuPG-Schlüssel besorgen und auf Deinem Rechner unter einem von Dir frei zu wählenden Schlüssel speichern. Üblich sind Namen wie beispielsweise Adele.pub.asc.
Den Dateinamen gibst Du an der Stelle KEYS an.
Eine .asc-Datei hatte ich ja, doch gpg --import xyz.asc
funktionierte auch nicht. Ich verstehe aber nun, dass eine .asc-Datei mindestens zweierlei beinhalten kann, eine Signatur oder einen Schlüssel. In meinem Fall hatte ich nur die Signatur. Nun habe ich herausgefunden, wie ich an den Schlüssel komme. Der befindet sich tatsächlich in einer Datei names KEYS: https://www.apache.org/dist/incubator/netbeans/KEYS
Damit klappt es jetzt, auch wenn ich immer noch bekomme:
$ gpg --verify incubating-netbeans-10.0-bin.zip.asc incubating-netbeans-10.0-bin.zip
gpg: Signatur vom Di 18 Dez 2018 04:38:03 CET
gpg: mittels RSA-Schlüssel 79C8F02A726E9EF53646D712B2BF814FA145CB2D
gpg: Korrekte Signatur von "Laszlo Kishalmi (CODE SIGNING KEY) <lkishalmi@apache.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 79C8 F02A 726E 9EF5 3646 D712 B2BF 814F A145 CB2D
Möglicherweise benötigst Du mehrere Schlüssel, dann die beiden vorstehenden Schritte entsprechend wiederholen.
Einen weiteren Schlüssel brauche ich wohl nicht, aber dem, den ich habe, müsste ich wohl noch irgendwie "Vertrauen aussprechen".
Danke für Deine Hilfe!