Contrôle de version - La méthode de distribution de clé publique gpg fournie sur git-scm ne semble pas pouvoir empêcher la falsification de contenu, n'est-ce pas ?

Question

https://git-scm.com/book/zh/v2/分布式-Git-维护项目#为发布打标签

Exécution du responsable :

gpg -a --export <keyid> | git hash-object -w --stdin | git -a maintainer-pgp-pub -m 'Run "git show maintainer-pgp-pub | gpg --import" to import the PGP public key'

C'est bien fait, la clé publique est distribuée, il suffit au destinataire de

git show maintainer-pgp-pub | gpg --import
git verfy-tag <signed-version>

La clé publique peut être importée et vérifiée.

Ensuite, le problème est que si le contenu est falsifié et que la clé publique et le contenu sont tous générés par le faussaire, la vérification réussira quand même. Cela ne peut être évité qu'en publiant l'empreinte de la clé publique sur le site. Dans ce cas, ne serait-il pas préférable de publier la clé publique directement sur le site ? Cela ne sert à rien de vérifier quoi que ce soit !