https://git-scm.com/book/zh/v2/分布式-Git-维护项目#为发布打标签
维护者执行:
gpg -a --export <keyid> | git hash-object -w --stdin | git -a maintainer-pgp-pub -m 'Run "git show maintainer-pgp-pub | gpg --import" to import the PGP public key'这样确实做到了,公钥分发,接收者只需要
git show maintainer-pgp-pub | gpg --import
git verfy-tag <signed-version>便可导入公钥并验证。
那么问题来了,如果内容被伪造了,公钥密钥到内容都是伪造者生成的一套,那么验证依然通过。只能靠发布公钥指纹在站点上可以防止这点,既然如此,直接在站点发布公钥岂不是更好?验证什么的,没有意义啦!
