HTTP サーバーでファイルを配布する際に、 .sig ファイルを一緒に置いておきながら配布するパターンを見かけます。 例: http://ftp.gnu.org/gnu/emacs/

.sig ファイルによる検証を gpg で行うには、その公開鍵をどうにかして取得する必要があると考えていますが、この公開鍵の情報はどうやって取得する想定なのでしょうか。

HTTP通信における、中間の攻撃者による内容の改竄について で述べられた通り HTTP 通信は信用できないと思っています。というのも、「公開鍵は何であるか」を HTTP で送ってしまっては、その情報自体が改竄されえてしまうと考えているからです。

鍵の情報だけを https で配布する、という構成ならば健全な方法だと思いますが、だったら最初からすべて https でいいのでは・・・?と思ったりなどします。