哪里可以获取用于签署 Python 安装文件的 GPG/PGP 公钥 的副本?
key 指纹是“FC624643487034E5”。 (gpg --验证 python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)
我搜索了多个 key 存储,例如 MIT , Ubuntu等。
签名是 download .
这是signature .
有很多.asc签名文件。有人应该将 key 上传到主线 key 服务器,否则签名毫无值(value)。
https://www.python.org/ftp/python/3.8.0/
例如,RedHat 发布了他们的安全团队 key : https://access.redhat.com/security/team/key/
验证签名可能有些过分,但供应链攻击是真实存在的。看看Android发生了什么: https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/
谢谢...
最佳答案
您可以在此处找到 Python 发行版二进制文件的公钥:Download Python | Python.org ,查找 OpenPGP 公钥 部分。
您正在查看的特定 key (FC624643487034E5) 属于 Steve Dower,他与 Windows 二进制版本相关。以下是托管在 keybase.io 上的 Steve 公钥的直接链接:7ed10b6531d7c8e1bc296021fc624643487034e5
关于python - 官方 Python GPG 签名 key - 它在哪里? -GPG : using RSA key FC624643487034E5,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58984026/