Kawalan versi - Kaedah pengedaran kunci awam gpg yang disediakan pada git-scm nampaknya tidak dapat menghalang pemalsuan kandungan, bukan?

Question

https://git-scm.com/book/zh/v2/分布式-Git-维护项目#为发布打标签

Pelaksanaan penyelenggara:

gpg -a --export <keyid> | git hash-object -w --stdin | git -a maintainer-pgp-pub -m 'Run "git show maintainer-pgp-pub | gpg --import" to import the PGP public key'

Ini memang dilakukan, kunci awam diedarkan, penerima hanya perlu

git show maintainer-pgp-pub | gpg --import
git verfy-tag <signed-version>

Kunci awam boleh diimport dan disahkan.

Masalahnya ialah, jika kandungan dipalsukan, dan kunci awam serta kandungan semuanya dijana oleh pemalsu, maka pengesahan akan tetap lulus. Ini hanya boleh dihalang dengan menerbitkan cap jari kunci awam di tapak. Dalam kes ini, bukankah lebih baik untuk menerbitkan kunci awam secara terus di tapak? Tidak ada gunanya mengesahkan apa-apa!