Ad esempio, questo progetto offre un *.asc
file con una firma PGP per verificare il contenuto del download (al contrario di un checksum, puoi vedere la colonna vuota): https://ossec.github.io/downloads.html
Come dovrei usare questo file? Ho provato gpg --verify
e altre varianti, ma sembra corrispondere al nome del file, tuttavia il nome del file scaricato non è esattamente lo stesso ... non sono sicuro di come dovrebbe funzionare.