小编Rya*_*ham的帖子

我从cmake.org网站安装 cmake，他们提供了两个文件，我认为这些文件旨在验证源代码下载cmake-3.11.0-rc3.tar.gz

在同一页面上，它们具有下载cmake-3.11.0-rc3-SHA-256.txt文件和cmake-3.11.0-rc3-SHA-256.txt.asc文件的链接

我不明白的是：

1. 来自同一源 (cmake.org) 的 asc 文件如何确保源代码的完整性？如果该网站提供的源代码被泄露，攻击者是否也无法泄露 asc 文件？

2. 我不需要公钥来真正验证源代码下载吗？我认为 asc 文件应该是公钥。但是，当我尝试使用以下命令导入 asc 文件时

   gpg --import cmake-3.11.0-rc3-SHA-256.txt.asc
   

   Run Code Online (Sandbox Code Playgroud)

   我收到一条错误消息“未找到有效的 OpenPGP 数据”