Здравствуйте!
Есть приложение Trezor suite для криптовалюты «Trezor-Suite-20.12.1-linux-x86_64.AppImage». Не до конца понимаю как проверить подлинность файла. Мануалы читал, но смутно понимаю процедуру проверки.
Trezor предполагает проверить так:

gpg --import satoshilabs-2020-signing-key.asc

gpg --verify Trezor-Suite-20.12.1-linux-x86_64.AppImage.asc
gpg: assuming signed data in 'Trezor-Suite-20.12.1-linux-x86_64.AppImage'
gpg: Signature made Tue Dec  8 14:11:52 2020 MSK
gpg:                using RSA key 54067D8BBF00554181B5AB8F26A3A56662F0E7E2
gpg: Good signature from "SatoshiLabs 2020 Signing Key" [expired]
gpg: Note: This key has expired!

Все три файла я скачал с сайта trezor, как я могу быть уверен, что эти файлы не разместил злоумышленник?
Также не понимаю обычно размещают контрольную сумму, которую можно проверить через shasu256 или 512, тут такого нет.

gpg жалуется, что ключ просрочен. Неужели trezor еще не обновили информацию для 2021?
Пробовал ключ satoshilabs-2021-signing-key.asc, который также скачал с сайта trezor, но он получается не подходит, т.к. файл выпущен в декабре 2020

 gpg