Openssl 对.zip文件进行签名以允许人们验证其内容的真实性

假设：

• 我想通过我的网站下载页面发布一个软件
• 我想让人们验证它的真实性

openssl是正确的工具吗？为了做到这一点，我必须经历哪些步骤

据我所知，我必须：

• 创建新密钥对（在我的PC上本地，而不是在服务器上）
• 每次我需要创建或更新软件的.zip时，我都会在本地签名，然后将其上传到服务器
• 然后人们将从我的服务器下载.zip，我将不得不分发pubkey（例如，在下载页面上编写它）
• 一旦用户的硬盘上有了该文件，他就可以验证.zip文件的签名是否与公钥匹配

这些步骤正确吗？有什么建议吗

---

谢谢

在这种情况下通常使用pgp/gpg，你能把你的观点扩展一点吗？即使作为这个问题的答案。。谢谢