> Когда вы наконец прочитаете документацию то сможете узнать что ключ могут подписывать
> другие люди, удостоверяя тем самым его подлинность, плюс у всех ключей
> есть уникальный отпечаток который обычно публикуется не на одном сервере.Ну елки палки, разжёвываю. Если удалось подменить архив, то можно подписать его _другим_ ключом, который также будет доступен, но это будет другой ключ. Когда вы запустите gpg vsftpd-2.3.4.tar.gz.asc, он вам автоматом вытянет нужный публичный ключ и этот ключ будет _другим_ ключом, не тем которым архив был подписан автором, а тем которым подписали взломщики.