https://git-scm.com/book/zh/v2/%E5%88%86%E5%B8%83%E5%BC%8F-Git-%E7%BB%B4%E6%8A%A4%E9%A1%B9%E7%9B%AE#为发布打标签

维护者执行：

gpg -a --export <keyid> | git hash-object -w --stdin | git -a maintainer-pgp-pub -m 'Run "git show maintainer-pgp-pub | gpg --import" to import the PGP public key'

这样确实做到了，公钥分发，接收者只需要

git show maintainer-pgp-pub | gpg --import
git verfy-tag <signed-version>

便可导入公钥并验证。

那么问题来了，如果内容被伪造了，公钥密钥到内容都是伪造者生成的一套，那么验证依然通过。只能靠发布公钥指纹在站点上可以防止这点，既然如此，直接在站点发布公钥岂不是更好？验证什么的，没有意义啦！