版本控制 - git-scm上提供的gpg公鑰分發方式似乎不可以防止內容偽造吧？

Question

https://git-scm.com/book/zh/v2/%E5%88%86%E5%B8%83%E5%BC%8F-Git-%E7%BB%B4%E6%8A%A4 %E9%A1%B9%E7%9B%AE#為發布打標籤

維護者執行：

gpg -a --export <keyid> | git hash-object -w --stdin | git -a maintainer-pgp-pub -m 'Run "git show maintainer-pgp-pub | gpg --import" to import the PGP public key'

這樣確實做到了，公鑰分發，接收者只需要

git show maintainer-pgp-pub | gpg --import
git verfy-tag <signed-version>

便可導入公鑰並驗證。

那麼問題來了，如果內容被偽造了，公鑰密鑰到內容都是偽造者產生的一套，那麼驗證依然通過。只能靠發佈公鑰指紋在網站上可以防止這一點，既然如此，直接在網站發佈公鑰豈不是更好？驗證什麼的，沒意義啦！