История изменений

Можно использовать два недоверенных источника из разных юрисдикций. Если ключ с американского сервера, а образ с Яндекса, то шанс, что оба будут подменены и подменены одним и тем же лицом (чтобы совпал ключ и образ) ниже. Аналогично можно качать через разных провайдеров, разные VPN и т. д. Суть даже не в том, чтобы ключ не подменили, а в том чтобы не подменили одинаковым образом.

Плюс можно мониторить изменения ключа. Образы скачиваются многократно (так как они обновляются, так как они много весят и их может быть накладно хранить), а ключ можно хранить долго.

Можно использовать два недоверенных источника из разных юрисдикций. Если ключ с американского сервера, а образ с Яндекса, то шанс, что оба будут подмечены и подменены одним и тем же лицом (чтобы совпал ключ и образ) ниже. Аналогично можно качать через разных провайдеров, разные VPN и т. д. Суть даже не в том, чтобы ключ не подменили, а в том чтобы не подменили одинаковым образом.

Плюс можно мониторить изменения ключа. Образы скачиваются многократно (так как они обновляются, так как они много весят и их может быть накладно хранить), а ключ можно хранить долго.

Можно использовать два недоверенных источника из разных юрисдикций. Если ключ с американского сервера, а образ с Яндекса, то шанс, что оба будут подмечены и подменены одним и тем же лицом (чтобы совпал ключ и образ) ниже.

Плюс можно мониторить изменения ключа. Образы скачиваются многократно (так как они обновляются, так как они много весят и их может быть накладно хранить), а ключ можно хранить долго.