Подписание AFAIU в GnuPG выполняется в два этапа:
Есть ли способ на самом деле разделить это на два этапа в командной строке?
Конечная цель - подписать файл (отделить-подписать), не передавая его на компьютер, где находится секретный ключ, и не передавая секретный ключ туда, где находится файл, который должен быть подписан.
Конечная цель - подписать файл (отделить-подписать), не передавая его на компьютер, где находится секретный ключ, и не передавая секретный ключ туда, где находится файл, который должен быть подписан.
Какие?
Для того, чтобы процесс gpg мог создать подпись, для подписи необходимы как входные данные, так и закрытый (секретный) ключ.
Ваш [логический] выбор:
Перенесите файл в user@host где находится закрытый ключ, создайте detached-sig, удалите файл
Используйте ssh или аналог для передачи файловых данных с одного хоста непосредственно в процесс gpg на хосте, где находится закрытый ключ, избегая необходимости попадания входного файла на диск на указанном хосте
Используйте openssl или подобное для создания хеша / подписи дайджеста на лету
