【问题标题】:Official Python GPG Signing Key - Where is it? - gpg: using RSA key FC624643487034E5官方 Python GPG 签名密钥 - 它在哪里? - gpg:使用 RSA 密钥 FC624643487034E5
【发布时间】:2019-11-21 21:27:23
【问题描述】:

我在哪里可以获得用于签署 Python 安装文件的 GPG/PGP public key 的副本?

密钥指纹是"FC624643487034E5"。 (gpg --verify python-3.8.0-amd64.exe.asc python-3.8.0-amd64.exe)

我搜索了多个密钥库,例如 MITUbuntu 等。

签名在download那里。

这是signature

有很多.asc签名文件。应该有人将密钥上传到主线密钥服务器,否则签名将一文不值。 https://www.python.org/ftp/python/3.8.0/

例如,RedHat 会发布他们的安全团队密钥: https://access.redhat.com/security/team/key/

验证签名可能有点矫枉过正,但供应链攻击是真实存在的。看看Android发生了什么: https://krebsonsecurity.com/2019/06/tracing-the-supply-chain-attack-on-android-2/

谢谢...

【问题讨论】:

    标签: python security gnupg


    【解决方案1】:

    您可以在此处找到 Python 发布二进制文件的公钥:Download Python | Python.org,查找 OpenPGP Public Keys 部分。

    您正在查看的特定密钥 (FC624643487034E5) 属于 Steve Dower,他与 Windows 二进制版本相关联。这是 keybase.io 上托管的 Steve 公钥的直接链接:7ed10b6531d7c8e1bc296021fc624643487034e5

    【讨论】:

      猜你喜欢
      • 2021-12-18
      • 2016-06-16
      • 2020-02-12
      • 2018-12-26
      • 2022-12-16
      • 1970-01-01
      • 1970-01-01
      • 2016-05-29
      • 1970-01-01
      相关资源
      最近更新 更多