Суть проблемы раскрылась в ходе общения -- СЕО данного кошелька не дружит с PGP/GPG. Поделился ссылкой.

Ага, и прям через сутки срок действия ключа истёк. В этот раз это было действительно совпадение, что они успели выпустить релиз перед истечением срока ключа, которым обычно подписывали релиз.
Лично мне такая ситуация показалась подозрительной, поэтому попросил подписать другим ключом.

Это намёк на то что я заёбистый? Так и есть.

Я забочусь о своей безопасности, и эта ситуация показалась как минимум странной. Зачем тогда модные крипто-шмипто девы завели себе PGP/GPG ключи, если не умеют ими пользоваться/не следят за ними?

Всегда проверяю что качаю/устанавливаю (и советую другим), и если что то замечу, сразу же об этом сообщу любым девам/сообщетсву, не только крипто-шмипто. А корона с головы (по моим данным) не упала, после подписания хешей другим ключом, указанным в личном профиле СЕО данного кошелька.

Крипо-девы хотят большие внимания/знаний со стороны пользователей, но сами допускают хомячие ошибки. Не сложно ведь засетапить себе блокчейн календарь, что срок действия ключа подходит к концу, и что надо как бэ что то предпринять, например: подписать старым ключом, отпечаток нового ключа и сообщение: "Так как старый ключ уходит на покой, все следующие релизы будут подписаны этим -- здесь_отпечаток_нового_ключа."

Отвечаю на ваш вопрос о новой подписи и переподписи всего Гитхаб: