tehát nem tudod semmivel sem nagyobb biztonsággal garantálni, hogy a vérpistike gépégékulcsával aláírt adathalmaz valóban az, amit vérpistike felrakott a szerverére, és odarakott mellé egy aláírást tartalmazó fájlt... Nem, a "régebbről megvan" nem játszik, mert ilyen alapon mindenkinek a kulcsát először hiteles, azonosított forrásból meg kéne szerezned, illetve az adott kulcs segítségével történő ellenőrzés előtt is egyeztetned kéne a kulcs tulajdonosával(!), hogy nem vonta-e vissza azt... Így gyakorlatilag totál fölösleges az aláírás: letöltöd, nyomsz rá egy értelmes hash-t, és egyezteted az eredeti fájl készítőjével, hogy rendben van-e...